Исследование было проведено командой под руководством Джоса Думортье, профессора Факультета права и директора Междисциплинарного центра права и информационных технологий (icri) в K.
| Вид материала | Исследование |
- Программа для поступающих в магистратуру юридического факультета по специальности 6N0302, 233.7kb.
- Андрея Леонидовича Козика Приветственное слово декана юридического факультета уо фпб, 136.39kb.
- «Применение информационных технологий в исследовании проблем международного права», 229.79kb.
- Программа итогового (государственного) междисциплинарного экзамена Направление 521400, 379.29kb.
- «Применение информационных технологий в исследовании проблем международного частного, 275.51kb.
- Инженерно- физический факультет высоких технологий Инженерно-физический факультет высоких, 561.11kb.
- Тематика курсовых работ по теории государства и права для студентов заочного отделения, 31.51kb.
- Программа итогового междисциплинарного государственного экзамена по специальности 030501, 700.36kb.
- М. В. Ломоносова Кафедра истории, социологии и права Тесты, 245.78kb.
- Программа итогового междисциплинарного экзамена по специальности 080105 «финансы, 564.94kb.
1.6 Ответственность (Статья 6)
В Статье 6 Директивы содержатся нормы об ответственности издателей квалифицированных сертификатов. Согласно Статьям 6.1 и 6.2, провайдер сертификационных услуг, выдающий гражданам сертификаты в качестве квалифицированных сертификатов либо гарантирующий такие сертификаты для граждан, несет ответственность за: (a) точность и полноту содержания квалифицированного сертификата и списков отозванных сертификатов, (b) гарантию того, что удостоверенное подписывающее лицо владеет секретным ключом в момент выдачи; (c) соответствие секретного и открытого ключей в случаях, когда провайдер сертификационных услуг генерирует оба этих ключа.
Статья 6 предусматривает минимальные пределы ответственности для ПСУ. Это означает, что государства-члены могут превысить требования Статьи 6, вводя Директиву в действие, но не имеют право установить меньший объем ответственности ПСУ.
Например, государства-члены могут установить ужесточить ответственность ПСУ либо ввести нормы об ответственности, которые также затрагивают ПСУ, выдающих неквалифицированные сертификаты. В этой связи результатом Статьи 6 Директивы должно стать усиление защиты пользователей.
С другой стороны, Статьи 6.3 и 6.4 предусматривают определенные ограничения ответственности, которые государства-члены должны принимать. Эту часть Статьи 6 можно охарактеризовать как «дружественную к ПСУ».
Для того, чтобы применялись положения об ответственности Статьи 6 Директивы об электронных подписях, должен быть выполнен ряд условий:
1.6.1 Квалифицированный сертификат
Во первых, положения Директивы об ответственности применяются только в том случае, если сертификат был выдан в качестве квалифицированного. Тем самым, вопрос о квалифицированности дефектного сертификата не имеет значения. Однако обозначение сертификата, данное ему ПСУ («квалифицированный»), существенно. Логика этого решения становится очевидной, если принять во внимание, что требования, которым должен соответствовать сертификат, чтобы стать квалифицированным, а провайдер сертификационных услуг — чтобы подпадать под определение Приложения II, большей частью устанавливаются с целью гарантировать безопасность сертификационной услуги. В большинстве случаев подписывающее лицо и зависимая сторона неспособны проверить, является ли сертификат на самом деле квалифицированным с точки зрения Директивы. Они полагаются на определение «квалифицированный», данное сертификату ПСУ, в том виде, в котором оно требуется для квалифицированных сертификатов согласно Приложению I (a).
1.6.2 «Выдаваемый гражданам»
Во-вторых, сертификат должен «выдаваться гражданам» или «гарантироваться для граждан» (Статьи 6.1 и 6.2). Значение данного термина открыто для толкования. Согласно Декларации факта (16) «основа регулирования не нужна, если электронные подписи применяются исключительно внутри систем, основанных на добровольных соглашениях в рамках частного права между определенным числом участников». Положения Директивы не применяются в отношении таких закрытых систем, поскольку «право сторон свободно договариваться об условиях, на которых они принимают данные, подписанные электронным способом, должно соблюдаться в пределах, разрешенных национальным законодательством». Поскольку Директива об электронных подписях прямо воздерживается от регулирования прав и обязанностей сторон в закрытой системе, кажется вероятным, что провайдеры сертификационных услуг, работающие в закрытой системе, также исключены из сферы действия положений Директивы, предусматривающих ответственность ПСУ, поскольку взаимоотношения сторон позволяют им определить собственные нормы ответственности.
В открытой системе зависимая сторона, как правило, не находится в договорных отношениях с провайдером сертификационных услуг, полагаясь тем самым на способность закона представить соответствующую систему ответственности. В закрытой же системе зависимая сторона может полагаться на ответственность ПСУ в рамках договора.
Выражение «выдающий гражданам» можно трактовать как относящееся к таким сертификационным услугам, которые открыты для проверяющих лиц, ранее не состоявших ни в какой связи с ПСУ.
1.6.3 «Гарантируемый для граждан»
В качестве альтернативы выдаче квалифицированных сертификатов гражданам, ПСУ также может нести ответственность в результате «гарантирования» квалифицированного сертификата «для граждан». Неясно, каким образом должна предоставляться такая гарантия. Конечно, требуемая гарантия — это более чем простое признание открытого ключа другого ПСУ, как это происходит при взаимной сертификации. В большинстве случаев гарантия будет предоставляться по договору между ПСУ и затем передаваться гражданам посредством регламентов сертификационной практики провайдера, выдавшего квалифицированный сертификат. Данная гарантия должна включать как минимум те пункты, которые упомянуты в параграфах (1) и (2) Статьи 6. Один из вариантов гарантирования сертификата упоминается в Статье 7.1 (b) Директивы (см. далее).
1.6.4 Основания возникновения ответственности
Согласно Статье 6.1 Директивы, ПСУ, работающие в области применения данной нормы, отвечают за точность и полноту всей информации, содержащейся в сертификате, за личность подписывающего лица, которое владеет данными для создания подписи, соответствующими данным для проверки подписи, предоставленным или указанным в сертификате, а также за совместное использование данных для создания подписи и данных для проверки подписи, если ПСУ генерирует и те, и другие.
Следовательно, ПСУ должен контролировать является ли подписывающее лицо, которому выдается сертификат, также владельцем секретного ключа, соответствующего открытому ключу в сертификате. Это можно сделать, например, предложив подписывающему лицу использовать свой закрытый ключ для создания образца квалифицированной электронной подписи, который затем проверяется ПСУ.
1.6.5 Обоснованное доверие
Ответственность ПСУ согласно Статьям 6.1 и 6.2 Директивы требует «обоснованного доверия» от стороны, потерпевшей ущерб.
Получатель электронной подписи, доверяющий одному или нескольким сертификатам при проверке этой подписи, вне всяких сомнений является в контексте данной нормы «зависимой стороной». Впрочем, в том, что касается подписывающего лица, ситуация выглядит еще более двусмысленной. Из формулировки Статьи не совсем понятно, касается ли она подписывающего лица.
Подписывающее лицо заключает договор с ПСУ в связи с выдачей сертификата. Тем самым, оказывается спорным, что ответственность ПСУ перед подписывающим лицом регулируется только условиями договора и национальным договорным правом, а положения Директивы об ответственности в отношении подписывающего лица не применяются. Учитывая тот факт, что положения Директивы, предусматривающие ответственность, не применяются в отношении закрытых систем, так как стороны в такой системе должны имеет право свободно согласовывать между собой условия обмена данными (см. Декларацию факта 16), можно поспорить с тем, что в отношениях между подписывающим лицом и ПСУ вопросы взаимной ответственности будут регулироваться положениями договора, которые действительны до тех пор, пока не затрагивают минимальные обязательства ПСУ в отношении зависимых третьих сторон.
Что же касается ответственности за ошибки в сертификатах, требование обоснованного доверия может быть особенно важным в контексте Статьи 6.1 (a) вариант 2 Директивы, где предусмотрена ответственность за полноту информации, содержащейся в сертификате. Сомнительно, что получатель квалифицированной электронной подписи мог бы считаться обоснованно доверяющим соответствующему сертификату, если бы данные, перечисленные в Приложении I Директивы, в этом сертификате отсутствовали. Возможно, при интерпретации понятия «обоснованный» в индивидуальном случае следовало бы принимать во внимание уровень технической компетентности потребителя.
Другим существенным вопросом является то, до каких пределов ПСУ может исключать «обоснованное доверие», ограничивая ответственность в своих постановлениях и условиях. Так как с точки зрения закона введение действительных норм, ограничивающих ответственность, представляется сомнительным ввиду отсутствия договорных отношений, требование обоснованности может открыть для ПСУ возможность ограничивать свою ответственность в случае возбуждения исков. Решение вопроса о наличии у зависимой стороны обоснованного доверия к сертификату, если данный сертификат исключает ответственность издателя в том, что не подпадает под Статьи 6.3 и 6.4, и о пределах, в которых эти ограничения ответственности будут действительны при возбуждении иска, будет зависеть от судов. Возможно, при ответе на этот вопрос будут приниматься во внимание правила и нормы, регулирующие ограничения ответственности при договорных отношениях.
Возможно, отказ (который, например, может появляться перед зависимой стороной при получении подписанного электронным способом сообщения), в котором ПСУ заявляет об ограничении своей ответственности, может быть использован для предотвращения «обоснованного доверия». Преимуществом такого метода может быть то, что зависимая сторона сталкивается с отказом предварительно — в отказе, например, может быть указано, что, доверяя сертификату, зависимая сторона соглашается с положениями, ограничивающими ответственность, либо с условиями ПСУ, на которых вводится такое ограничение ответственности.
1.6.6 Отсутствие халатности
Строгая ответственность, в том виде, в котором она существует в законах об ответственности за продукцию,33 не востребована Директивой. Вместо этого, халатность провайдера является предпосылкой права на иск с целью возмещения ущерба. Данная предпосылка основывается на типичной ситуации зависимой стороны. Получатель подписи, которая оказывается неверной, зачастую оказывается не в том положении, чтобы анализировать технические причины сбоя, тогда как сам ПСУ имеет гораздо лучшее представление о своих организационных и технических действиях. Соответственно, Директива обременяет ПСУ доказательством отсутствия халатности, так как ПСУ обладает необходимыми техническими знаниями для расследования происшествия.
1.6.7 Ограничение ответственности
Чтобы уменьшить финансовые риски, связанные с ответственностью, ПСУ будут изыскивать способы её ограничения. Директива предусматривает ряд ограничений ответственности. Эти ограничения должны быть признаны государствами-членами на том условии, что они включены в сам сертификат в форме, позволяющей третьим сторонам распознать их. Чтобы считаться действительными, все положения, предусматривающие ограничение ответственности, должны, как правило, предоставляться ПСУ партнеру по договору или зависимой стороне в ясной и удобочитаемой форме.
1.6.7.1 Ограничения ответственности в Директиве
В Статьях 6.3 и 6.4 Директивы прямо предусмотрены некоторые ограничения ответственности. Например, ПСУ может ввести лимит стоимости для коммерческих транзакций. Если этот лимит нарушен, ПСУ «не будет нести ответственность за убытки в результате превышения этого максимального лимита». Если понимать формулировку Директивы буквально, это не кажется обширной возможностью для ограничения ответственности. Если установлена вина ПСУ, которая привела к возникновению ответственности, ущерб при успешном завершении дела, скорее всего, будет признан возникшим в результате халатности ПСУ, а не превышения максимального лимита транзакции. Тем самым, необходимо следовать трактовке Статьи 6, позволяющей ПСУ ограничивать ответственность, ссылаясь на указанную в сертификате максимальную величину транзакции.34 Большая часть опубликованной в настоящее время по данному вопросу юридической литературы трактует Статью 6.4 как позволяющую лишь относительно ограничить ответственность, подразумевая, что возможно ограничить только максимальную сумму каждой транзакции, но не общую ответственность за сертификат независимо от числа транзакций. Такая трактовка выглядит разумной, так как зависимая сторона неспособна проследить количество предшествующих транзакций, сделанных подписывающим лицом или объем ответственности за сертификат, «оставшийся» после этих транзакций.
Положения Директивы также предусматривают возможность указать на ограничения области использования сертификата, например, то, что сертификат может применяться только для определенных типов транзакций, в пределах конкретной компании, на территории отдельной страны или на территории Европейского сообщества. Если подписывающее лицо нарушает эти ограничения, используя сертификат для целей вне его, провайдер сертификационных услуг не будет нести ответственность за возникший в результате этого ущерб.
В зависимости от законодательства государств-членов, ограничения ответственности могут быть включены в сам сертификат, и такие ограничения должны быть приняты всеми государствами-членами; впрочем, национальное законодательство также может потребовать, чтобы ограничения упоминались в Регламенте сертификационной практики или отдельном регламенте, при условии, что они будут доведены до сведения зависимой стороны и подписывающего лица.
1.6.7.2 Ограничение ответственности вне рамок Директивы
Вне сферы применения Директивы ответственность провайдеров сертификационных услуг регулируется национальным законодательством. Пределы ограничения ответственности, разрешенные законом, могут зависеть от ряда факторов, включая, например, «класс» сертификата.
1.6.7.3 Заявление об ограничении ответственности
Принимая во внимание ограничения ответственности, уже включенные в Директиву, для ПСУ становится частой практикой устанавливать максимальный предел ответственности за квалифицированные сертификаты. Максимальный предел зачастую включает ответственность за все дополнительные услуги, за которые провайдер сертификационных услуг может быть привлечен к ответственности. Этот предел может, например, различаться в зависимости от качества выдаваемого сертификата. ПСУ, взаимно сертифицирующие других ПСУ, иногда явно задают ограничения применения таких сертификатов, чтобы избежать ответственности перед третьими зависимыми сторонами, отличными от ПСУ. В дополнение к этому, сертификат может включать ограничение, которое позволяет использовать его только для отдельных типов транзакций, например, для заключения договоров продажи движимого имущества.
В то время как ограничения ответственности, превышающие те, что предусмотрены Директивой, действительны только вне области применения Директивы, ПСУ может попытаться избежать потенциальной ответственности, прямо указав, что заявления подписывающего лица, не проверенные сертификатом, ни к каким обязательствам не ведут.
Более того, чтобы явным образом избежать обязательств в результате возможных конфликтов в связи с юридической силой цифровой подписи к отдельном контексте, ПСУ может пожелать указать, что он не гарантирует юридическую силу электронной подписи, заверенной его сертификатом. Хотя нет норм права, которые бы трактовали положения Европейской Директивы, предусматривающие ответственность, ПСУ нередко вводят ограничения ответственности, основанные на максимально узкой трактовке этих положений. Например, в настоящее время неясно, до каких пределов суды будут привлекать ПСУ к ответственности за косвенный ущерб от дефектного сертификата. Тем самым, исключение каких-либо форм ответственности за косвенный ущерб, понесенный подписывающим лицом или зависимой стороной, зачастую предусматривается в регламентах сертификационной практики многих ПСУ.
Чтобы увеличить вероятность судебного исполнения ограничений ответственности по отношению к третьим сторонам, в общую практику входит требование от третьей стороны согласия с условиями и положениями по использованию списков отозванных сертификатов перед тем, как предоставить ей доступ к спискам сертификатов или к сервису OCSP. Однако в данных целях утверждение, что зависимой стороне придется согласиться с этими условиями, если она доверяет сертификатам, выданным провайдером сертификационных услуг, может быть признано недостаточным, если невозможно установить, что зависимая сторона должна была принять эти условия во внимание перед использованием сертификата ПСУ для проверки подписи.
1.6.8 Бизнес-модель, на которой основана Статья 6
Статья 6 Директивы возлагает ответственность за ущерб, возникший в результате халатности в ходе процесса регистрации, на плечи провайдера, выдающего квалифицированный сертификат. Это справедливо и в отношении ответственности за услуги по отзыву сертификатов. Это означает, что (единственной) бизнес-моделью, которая поддерживается в Статье 6, является та, в которой издатель сертификата несет ответственность за всю цепочку сертификатов.
Издатель сертификата — это провайдер, который подписал сертификат и занес в него свое имя. Даже если другой провайдер будет заниматься регистрацией или же если услуги по отзыву сертификатов будут предоставляться другим ПСУ, провайдер, чье имя фигурирует в сертификате, будет нести ответственность согласно Статье 6. Просто посмотрев на сертификат, зависимая сторона не будет извещена о разделении задач между различными провайдерами, включенными в цепочку сертификатов. Принимая бизнес-модель, которая возлагает весь объем ответственности на одного из этих провайдеров, Статья 6 стремится защитить зависимую сторону. На практике в договорах, заключаемых между ПСУ, которые входят в сертификационный путь, обычно предусматривается, что издатель сертификата освобождается от ответственности за все услуги в цепочке сертификатов, предоставляемые другими провайдерами. Это, конечно же, в полной мере соответствует положениям Директивы.