Книги по разным темам

Доклад на IX Международной конференции Право и Интернет

Правовой статус удостоверяющего центра

Грызунова Е.В.

Консультант Департамента систем информационной
безопасности ООО ГАЗИНФОРМСЕРВИС, к.ю.н.

На предприятиях все чаще имеет место переход от бумажного документооборота к электронному. В связи с чем, существующие правовые нормы подвергаются изменениям и дополнениям, учитывающим потребности современного общества в электронном общении.

Придание юридической силы электронным документам в информационных системах осуществляется посредством применения электронной цифровой подписи (ЭЦП). Документом, подтверждающим подлинность электронной цифровой подписи и однозначно идентифицирующим автора ЭЦП, является сертификат ключа подписи (СКП). Такой документ выдается специальным субъектом - Удостоверяющим центром (УЦ). Институт удостоверяющих центров начал формироваться с момента введения в действие Федерального закона Об электронной цифровой подписи № 1-ФЗ от 10.01.2002 года (Закон об ЭЦП). Рассмотрим с юридической точки зрения основные признаки УЦ, как нового посредника взаимоотношений субъектов при лэлектронном взаимодействии, и конкретизируем его правовой статус.

Первичное представление об УЦ, как новом субъекте хозяйственной деятельности, дает Закон об ЭЦП (ст. 8). Термин лудостоверяющий центр трактуется, в основном, в качестве отсылочной нормы и включает в себя следующее:

  • к форме создания УЦ;
  • функции;
  • материальные и финансовые возможности;
  • пределы гражданской (материальной) ответственности перед пользователями сертификатов ключей подписей.

Форма создания УЦ, определяется в зависимости от вида информационной системы. Это может быть самостоятельное юридическое лицо либо структурное подразделение (обособленное подразделение или филиал) организации. Создание У - в виде юридического лица обязательно для организаций, которые выдают СКП для использования в информационных системах общего пользования, и не обязательно для корпоративной информационной системыi. Выбор организационно-правовой формы У - цели деятельности У - производят учредители УЦ. При этом с одной стороны, У - удовлетворяет потребности населения в обмене юридически значимыми электронными документами, а с другой стороны - стремится к извлечению прибыли, как правило, оказывая и выполняя сопутствующие основной деятельности услуги и работы. Соответственно, учредительными документами У - могут быть учредительный договор и/либо устав, либо положение, в зависимости от вида организационно-правовой формы и целей деятельности.

УЦ, создаваемый как самостоятельное юридическое лицо, должен отвечать признакам юридического лица, закрепленным п.1.ст. 48 ГК РФ. Специфика У - состоит в том, что У - информационной системы общего пользования подлежит регистрации в Реестре удостоверяющих центров уполномоченного федерального органа в области использования ЭЦП (ЕГРСКПУЛУЦ), посредством регистрации сертификата ключа подписи уполномоченного лица удостоверяющего центраii. Данная процедура предполагает заявительный характер регистрации. Однако прекращение деятельности У - в порядке установленном гражданским законодательством в полной мере не отвечает предъявляемым к нему требованиям, поскольку предусматривает уведомление о предстоящем прекращении деятельности только кредиторов организацииiii, но не все лица, заинтересованные в получении информации о прекращении деятельности УЦ, являются его кредиторами. В ст. ст. 11, 14, 15 Закона об ЭЦП указаны случаи уведомления всех владельцев ЭЦП и иных заинтересованных лиц (пользователей сертификатов ключей подписей). Прекращение деятельности У - относится к фактам, которые существенным образом могут сказаться на возможности дальнейшего использования сертификата ключа подписиiv.

Деятельность У - связанна с использованием вычислительной техники и информационных технологий, и при регистрации юридического лица в качестве вида основной деятельности указывается код 72 по ОК-029-2001 (ОКВЭД). Основные функции У - образуют конкретный перечень услуг, прямо установленный закономv. Стоит отметить, что обеспечение пользователей системы электронного документооборота ключевой информацией (включая ее формирование и распределение) является лицензируемым видом деятельности по предоставлению услуг в области шифрования информацииvi. Это позволяет говорить о специальной правосубъектности УЦvii.

Но вместе с тем, перечень услуг является лоткрытым, так как позволяет предоставлять участникам информационных систем иные, связанные с использованием ЭЦП услуги (поставку и техническое обслуживание шифровальных (криптографических) средств защиты информации конфиденциального характера и прочее).

Специфика функций У - повлекла появление новых должностей, не указанных в квалификационном справочнике должностей руководителей, специалистов и других служащих, утвержденном постановлением Минтруда России от 21 августа 1998 г. N 37: Руководитель (начальник) удостоверяющего центра – уполномоченное лицо, имеющее сертификат ключа подписи удостоверяющего центра, для заверения сертификатов ключей подписей, выданных УЦ; Администратор удостоверяющего центра; Администратор безопасности. Руководитель (начальник) удостоверяющего центраviii. В связи с чем, представляется необходимым дополнить раздел 1 указанного выше справочника обозначенными должностями.

У - как самостоятельное юридическое лицо имеет обособленное имущество, находящееся либо в собственности, либо в хозяйственном ведении или оперативном управлении. Обязательным требованием в отношении имущества У - открытой информационной системы является использование сертифицированных средств электронной цифровой подписи.

Самостоятельная имущественная ответственность У - заключается в том, что по своим долгам он отвечает только принадлежащим ему имуществом. Материальные и финансовые возможности У - должны позволять возместить убытки пользователям СКПix. Данные требования утверждаются Правительством РФ, но на сегодняшний день отсутствуют. Решать данный вопрос приходится, опираясь на обычаи делового оборота и международное право. Международные нормы предлагают руководствоваться принципом достаточности финансовых ресурсов УЦ, чтобы осуществлять свою деятельность и нести разумные риски, возникающие в результате выдачи им сертификата, причем достаточность должна оцениваться в соответствии со стандартом разумности, исходя из информированности сертифицирующего лицаx. Таким образом, предел материальной ответственности У - зависит от размера возможного ущерба, причиненного пользователю сертификата ключа пользователя, в результате небрежности при изготовлении сертификата ключа подписиxi. Согласно гражданского законодательства порог ответственности устанавливается законом или договором. В отсутствии закона сторонам следует руководствоваться принципом возмещения убытков на договорной основеxii. Назрела необходимость в разработке методики определения размера ущерба (убытков), причиненного вследствие недостоверности данных, указанных в сертификате ключа подписи. До этого момента, в качестве меры обеспечения финансовых гарантий У - и уменьшения убытков У - могут использовать институт страхованияxiii.

УЦ, в соответствии с Законом об ЭЦП, предоставлена возможность переложить ответственность на третьих лиц (на создателей и распространителей несертифицированных средств электронной цифровой подписи)xiv. Особенности такой ответственности выходит за рамки данной статьи.

У - от своего имени может приобретать и осуществлять имущественные и личные неимущественные права и обязанности, т.е. выступать в гражданских правоотношениях в качестве самостоятельного субъекта права, в том числе в качестве истца и ответчика в суде. Очевидным пробелом в законодательстве является отсутствие требований к наименованию УЦ, что неблагоприятно сказывается на деловой репутации организации, приводит к нарушению законных интересов учредителей и третьих лицxv.

У - в корпоративных информационных системах. Каждое юридическое лицо вправе создать УЦ, за которое несет всю ответственность. В этом случае государственная регистрация в ЕГРСКПУЛУ - сертификата ключа подписи уполномоченного лица удостоверяющего центра не обязательна. Возможно использовать несертифицированные средства электронной цифровой подписи. Статус У - определяется владельцем корпоративной информационной системы или соглашением участников этой системы. Основным регламентирующим документом выступает Положение об удостоверяющем центре, в котором отражаются цели и задачи создания корпоративного УЦ, определяется его место в структуре организации, и взаимодействие с другими подразделениями, основные функции УЦ, круг пользователей и общие правила взаимодействия сторон, порядок прекращения деятельности УЦ.

Стоит отметить, что корпоративная информационная система, предоставляющая участникам информационной системы общего пользования услуги удостоверяющего центра корпоративной информационной системы, должна соответствовать требованиям, установленным настоящим Федеральным законом для информационных систем общего пользования. Использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается. Особенности прекращения деятельности У - обслуживающих сертификаты ключей подписей государственных служащих определяется Правительством Российской Федерации по представлению уполномоченного федерального органа исполнительной власти.

Таким образом, характеризуя У - как отдельный субъект, обладающий специфической деятельностью, необходимо конкретизировать его правовой статус в гражданско-правовых нормах и нормах Федерального закона Об электронной цифровой подписи.


i Ст. 8 Федерального закона Об электронной цифровой подписи №1-ФЗ от 10.01.2002г.// Собрание законодательства Российской Федерации, 2002, № 2, ст. 127.

ii Ст. 10, 15 Федеральным законом от 10 января 2002 г. № 1-ФЗ "Об электронной цифровой подписи" // Собрание законодательства Российской Федерации, 2002, № 2, ст. 127; Положение о Федеральном агентстве по информационным технологиям (Росинформтехнологии), утверждённое постановлением Правительства Российской Федерации от 30 июня 2004 года № 319 // Собрание законодательства Российской Федерации, 2004, № 27, ст. 2782; Рекомендации по ведению Единого государственного реестра сертификатов ключей подписей уполномоченных лиц удостоверяющих центров, опубликованы на Интернет-сайте Реестр УФО, www.reestr-pki.ru.

iii Ст. 63 ГК РФ

iv Ст. ст. 11, 14, 15 Федерального закона №1-ФЗ от 10.01.2002г.

v Ст. 9 Федерального закона №1-ФЗ от 10.01.2002г.

vi Ст. 17 Федерального закона от 08.08.2001 N 128-ФЗ О лицензировании отдельных видов деятельности. Приказ ФАПСИ от 13.06.2001 г. № 152. Положение о лицензировании предоставления услуг в области шифрования информации, утв. постановлением Правительства Российской Федерации от 23 сентября 2002 г. № 691.

vii п.а18 Постановления Пленума Верховного Суда Российской Федерации и Пленума Высшего Арбитражного Суда Российской Федерации от 1 июля 1996аг. Nа6/8.

viii Приказ ФАПСИ от 13.06.2001 г. № 152.

ix Ст. 8 Федерального закона №1-ФЗ от 10.01.2002г.

x Международная торговая палата (МТП) Общие обычаи для удостоверенной цифровым способом международной коммерции 1997г.. Раздел 5. Финансовые ресурсы.

xi См.:

xii Возможность ограничения ответственности в обязательственных отношениях предусмотрена ст. 400 ГК РФ.

xiii

xiv Федерального закона №1-ФЗ от 10.01.2002г.

xv ст.а54 ГК РФ

   Книги по разным темам