Исследование было проведено командой под руководством Джоса Думортье, профессора Факультета права и директора Междисциплинарного центра права и информационных технологий (icri) в K.

Вид материала

Исследование

Содержание 2.3 Вопросы ответственности (Статья 6) 2.3.1.2 Состояние выполнения 2.3.2 Сфера действия выполняющих положений i. ПСУ, выдающие гражданам квалифицированные сертификаты или гарантирующие такие сертификаты ii. Любой объект, юридическое или физическое лицо, обоснованно доверяющее сертификату 2.3.3 Перечень оснований возникновения ответственности i. Страны, транспонировавшие перечень оснований возникновения ответственности из Статьи 6.1 идентично или близко к содержанию Ди ii. Страны, расширившие список, включив в него область применения Статьи 6.2 (нерегистрация отзыва КС). 2.3.4 Бремя доказательства 2.3.4.2 Состояние выполнения 2.3.5 Ограничения ответственности 2.3.6 Общие выводы

Подобный материал:

• Программа для поступающих в магистратуру юридического факультета по специальности 6N0302, 233.7kb.
• Андрея Леонидовича Козика Приветственное слово декана юридического факультета уо фпб, 136.39kb.
• «Применение информационных технологий в исследовании проблем международного права», 229.79kb.
• Программа итогового (государственного) междисциплинарного экзамена Направление 521400, 379.29kb.
• «Применение информационных технологий в исследовании проблем международного частного, 275.51kb.
• Инженерно- физический факультет высоких технологий Инженерно-физический факультет высоких, 561.11kb.
• Тематика курсовых работ по теории государства и права для студентов заочного отделения, 31.51kb.
• Программа итогового междисциплинарного государственного экзамена по специальности 030501, 700.36kb.
• М. В. Ломоносова Кафедра истории, социологии и права Тесты, 245.78kb.
• Программа итогового междисциплинарного экзамена по специальности 080105 «финансы, 564.94kb.

2.3 Вопросы ответственности (Статья 6)

2.3.1 Транспонирование специального положения об обязательствах

2.3.1.1 Напоминание

Директива предусматривает специальные правила привлечения к ответственности, относящиеся к предоставлению сертификационных услуг ПСУ, выдающими гражданам квалифицированные сертификаты (Статья 6). Никакая другая категория участников рынка (например, производители или поставщики устройств для создания подписей или другой продукции) не попадает в сферу действия данной Статьи или других специальных положений.

Специальные и минимальные основания возникновения ответственности определены в Статье 6, которая связана с «бременем доказательства обратного» в ущерб ПСУ, допустившим халатность. Этой нормой может воспользоваться любая третья сторона, мотивированно доверившаяся сертификату, который был выдан небрежным ПСУ.

Статья устанавливает специальные ограничения ответственности ПСУ, которые государства-члены должны транспонировать в национальное законодательство. Эти ограничения относятся к сфере применения сертификата и стоимости транзакций, для которых может применяться сертификат.

2.3.1.2 Состояние выполнения

За немногими исключениями (Франция и Португалия), все страны-члены ЕС включили явно сформулированные положения об ответственности, вводящие в действие Статью 6 Директивы, непосредственно в свои законодательные и подзаконные акты об электронных подписях.

• Во Франции идет обсуждение нового законопроекта «Конфиденциальность в условиях цифровой экономики», который предусматривает прямо сформулированное положение, дословно транспонирующее Статью 6 Директивы в национальное законодательство.
  
• В Испании, хотя действующий закон об электронных подписях включает раздел об ответственности, ответственность касается всех ПСУ (независимо от того, выдают они КС или нет) через положение об общей ответственности (сфера действия данной нормы включает любой ущерб или потери, причиненные держателям сертификатов и третьим сторонам). Тем не менее, испанское положение об ответственности формулирует бремя доказательства обратного (ответственность с ПСУ не снимается, пока он не докажет отсутствие небрежности в своих действиях). Следовательно, можно заключить вывод, что испанское законодательство предусмотрело норму с ответственностью ПСУ, но на более широкой основе, чем в Директиве.
  

Аналогичный подход используется в значительном большинстве вступающих стран и стран-кандидатов, за исключением Кипра (который еще не транспонировал Директиву), Польши и Эстонии.

Швейцария — это еще одна страна, которая, как и Испания, использовала в своем проекте закона об электронной подписи более широкий подход к транспонированию статьи (в Швейцарии данное положение касается всех ПСУ и обременяет их «доказательством обратного» при любом нарушении этого закона).

Помимо случаев, уже описанных выше, положения об ответственности, предусмотренные в национальном законодательстве, в общем и целом охватывают суть Статьи 6 Директивы.

2.3.2 Сфера действия выполняющих положений

2.3.2.1 Описание

Статья 6 Директивы касается ПСУ, выдающих квалифицированные сертификаты гражданам или гарантирующих такие сертификаты. Партией, понесшей ущерб и желающей воспользоваться предусмотренным в этой статье бременем доказательства обратного, может быть любой объект, юридическое или физическое лицо, мотивированно доверившееся сертификату. Директива на дает дальнейших разъяснений в отношении i) того, включает ли понятие «зависимой стороны» подписывающих лиц, и ii) фактического доказательного значения «мотивированного доверия», отдавая трактовку данных условий на откуп национальным правовым системам (если это введено в национальное законодательство) в свете национальных правовых принципов и/или юриспруденции. Далее мы рассмотрим транспонирование всех элементов Статьи 6, которые составляют условия применения данной нормы.

i. ПСУ, выдающие гражданам квалифицированные сертификаты или гарантирующие такие сертификаты

В том, что касается категорий ПСУ, охватываемых специальными национальными нормами об ответственности, большая часть стран-членов ЕС⁴⁸ ограничивает область применения этих положений ПСУ, выдающими/гарантирующими квалифицированные сертификаты для граждан.

Вступающие страны, Литва, Чешская республика, Словения и Мальта различают ответственность ПСУ в целом и специальную ответственность ПСУ, выдающих КС, в терминах Директивы.

• Стоит отметить, что страны, которые все еще должны транспонировать Статью 6 саму по себе, предпочли ввести правила общей ответственности (например, Польша: «любое невыполнение обязательств ПСУ» или «небрежное выполнение ПСУ своих обязанностей») или расширить перечень оснований возникновения ответственности, включая, большей частью, положения об ответственности, определенные Статьей 6 Директивы.
  
• В Литве (которая считается реализовавшей Статью 6) ситуация более чем в остальных странах, принявших общие правила привлечения к ответственности, склоняется к духу Директивы: хотя соответствующий раздел закона об электронных подписях касается всех ПСУ, перечень оснований возникновения ответственности, приведенный в этом разделе, применяется только в отношении ПСУ, выдающих КС.
  
• Еще один особый случай — это Латвия, где введены пункт об ответственности ПСУ, только выдающих и не гарантирующих КС.
  

Из числа стран кандидатов, Румыния приняла область применения Статьи 6 (ПСУ, выдающие/гарантирующие квалифицированные сертификаты), но без явного указания на то, должна ли презумпция «причинности» также применяться в отношении квалифицированных ПСУ, предоставляющих сертификаты для конкретных сообществ пользователей («закрытые группы пользователей») на основе договорных отношений, а не для всех граждан. С другой стороны, положения об ответственности в болгарском законодательстве об электронной подписи применяются в отношении ПСУ, выдающих и квалифицированные, и универсальные сертификаты (квалифицированные сертификаты, выданные ПСУ, зарегистрированными специальным органом по определенной процедуре).

Из числа стран ЕЭЗ, положение об ответственности в Норвегии применяется ко всем ПСУ, выдающим квалифицированные сертификаты как всем гражданам, так и в пределах ограниченной группы пользователей.

ii. Любой объект, юридическое или физическое лицо, обоснованно доверяющее сертификату

Правило «обоснованного доверия» (любое лицо, обоснованно доверяющее сертификату, может воспользоваться бременем доказательства обратного, установленным согласно разделу об ответственности) было прямо транспонировано в положения об ответственности большинства стран-членов ЕС.

В некоторых случаях правило «обоснованного доверия» было транспонировано либо посредством аналогичной фразы (так, в австрийском законе об электронных подписях: добросовестное доверие сертификату), либо сочтено свойственным основным принципам доказательства в некоторых странах (например, Швеции и Финляндии).

• В законах Венгрии нет указания на «условие обоснованности».
  
• Законодательство Норвегии использует сходный подход, применяя слово «нормальное» вместо «обоснованное» (доверие), что может привезти к сужению области применения норм, предусматривающих ответственность (ожидания третьей стороны, доверяющей нормальному применению сертификата, возможно, отличаются от того, что пользователь может обоснованно ожидать от сертификата; конечно, следует исследовать, подтверждается такое допущение норвежской правовой доктриной или юриспруденцией).
  

В некоторых странах либо явно указано, либо может быть косвенно заключено, что подписывающие лица также могут использовать эту норму против небрежных ПСУ.

• Так обстоит дело в законодательстве Дании и Венгрии.
  
• Эстония транспонировала данное правило даже в более пространном виде, так как ПСУ могут быть привлечены к ответственности за любой ущерб собственности, нанесенный в результате нарушения провайдером услуг своих обязательств.
  

2.3.2.2 Вывод

Стоит отметить, что большинство обследованных стран в общем и целом транспонировали Статью 6 Директивы со строгим соблюдением её применимости и сферы действия (иными словами — предоставление услуг ПСУ, выдающим или гарантирующим квалифицированные сертификаты для всех граждан). Даже в тех странах, где нормы, прямо предусматривающие ответственность, могут применяться в отношении любой категории ПСУ, транспонирование было сделано в рамках общей обязанности соответствия, в том числе обязательствам, указанным в национальном законодательстве (об электронных подписях или иного рода), а не в рамках транспонирования Статьи 6 Директивы в узком смысле.

За немногими исключениями, национальные нормы, транспонирующие Статью 6, относятся к ответственности ПСУ, выдающих квалифицированные сертификаты гражданам, а не к специфическим пользовательским группам, связанным договорными отношениями. В отдельных случаях (Норвегия, Румыния…), презумпция «причинности» может быть использована против ПСУ, предлагающих сертификаты для граждан либо в рамках контрактов с конкретными группами пользователей. То, отвечает ли Директиве расширение сферы действия «презумпции причинности» на последнюю категорию лиц, является предметом дополнительного исследования.

2.3.3 Перечень оснований возникновения ответственности

2.3.3.1 Описание

Ниже выделены три основных направления транспонирования:

1. Страны, транспонировавшие перечень оснований возникновения ответственности из Статьи 6.1 идентично или близко к содержанию Директивы
   
2. Страны, расширившие список, включив в него область применения Статьи 6.2 (нерегистрация отзыва КС).
   
3. Страны, расширившие область применения списка (добавив другие основания возникновения ответственности в качестве отдельных случаев невыполнения или «бездействия»).
   

i. Страны, транспонировавшие перечень оснований возникновения ответственности из Статьи 6.1 идентично или близко к содержанию Директивы

Большая часть стран-членов ЕС предусматривает специальные разделы об ответственности, и большая их часть в точности следует формулировкам Директивы (Бельгия, Греция, Ирландия, Италия, Нидерланды, Великобритания). Это относится и к транспонированию оснований возникновения ответственности в Ирландии, с единственным отличием: там, где в Статье 6.1 говорится о данных для создания/проверки подписи, ирландские нормы упоминают устройство для создания/проверки подписи.

Напротив, законодательство большинства входящих стран, стран-кандидатов и стран ЕЭЗ (за исключением Исландии, дословно транспонировавшей перечень оснований для возникновения ответственности) подпадает под одну или обе из двух категорий, описанных ниже.

ii. Страны, расширившие список, включив в него область применения Статьи 6.2 (нерегистрация отзыва КС).

В ряде стран нерегистрация отзыва сертификата включена в перечень оснований возникновения ответственности либо в форме «бездействия», либо как нарушение обязанности действовать.

Из числа стран-членов ЕС так дело обстоит в Австрии, Дани, Люксембурге, Финляндии и Швеции.

• По датскому закону об электронных подписях, не отзыв недействительного сертификата или сертификата с истекшим сроком действия оговаривается как отдельный случай, в дополнение к основаниям, перечисленным в Статье 6.1.
  
• Обязанность немедленно отзывать сертификат (по запросу подписывающего лица или по другим причинам), а также указывать точные дату и время выдачи и/или отзыва оговариваются в шведском положении об ответственности, остальная часть которого в общем и целом отражает основания, предусмотренные Директивой.
  

Из числа вступающих стран упоминание нерегистрации отзыва сертификата можно также обнаружить в законодательстве Словении и Литвы; из числа стран ЕЭЗ — в Норвегии и в законопроекте Лихтенштейна. На практике юридическим последствием такого транспонирования может быть расширение ответственности ПСУ, гарантирующих или выдающих КС. Это предполагает, что ПСУ, гарантирующий сертификат другого ПСУ, может быть даже привлечен к ответственности за нерегистрацию первым ПСУ сертификата в списке отозванных сертификатов.

iii. Страны, расширившие область применения списка (добавив другие основания возникновения ответственности в качестве отдельных случаев невыполнения или «бездействия»).

В некоторых странах-членах ЕС, а также в большинстве вступающих стран и стран-кандидатов перечень оснований возникновения ответственности шире предусмотренного в Директиве.

• Соответственно, ПСУ в Дании отвечают на основании специального раздела об ответственности при передаче неверной информации 1) об отзыве сертификата и о времени отзыва (дата истечения срока действия), либо 2) о наличии у сертификата ограничений на область применения или стоимость транзакций, для которых может использоваться сертификат.
  
• Напротив, закон Германии об электронных подписях не включает какого-либо списка, устанавливая ответственность в случаях «нарушения требований, сформулированных в постановлении об электронных подписях и сбоев в продуктах ПСУ, предназначенных для квалифицированных электронных подписей, либо в других технических средствах безопасности». Из этого можно заключить, что основания возникновения ответственности по Директиве фактически включены в сферу применения немецкой общей нормы. Соответственно, нерегистрация сформулирована в более общих терминах — как не предоставление ПСУ надлежащей услуги каталога или отзыва сертификата.
  

В случае со вступающими странами, где основания возникновения ответственности также изложены в соответствии со списком (Чешская республика, Эстония, Венгрия, Литва, Словения, Латвия и Мальта), можно отметить следующее:

• Законодательство Чехии включает перечень оснований возникновения ответственности в виде, сформулированном в Статье 6 Директивы, а также в Приложении II (требования к ПСУ, выдающим квалифицированные сертификаты).
  
• В числе условий привлечения к ответственности венгерское законодательство об электронных подписях прямо предусматривает обязанность: i) информировать пользователей об условиях предоставления сертификационной услуги, а также о публикации, отзыве и приостановлении действия сертификатов, ii) хранить записи, имеющие отношение к сертификатам; iii) обеспечивать непрерывность обслуживания; и iv) применять SSCD в рамках предоставления улучшенных услуг. В остальном законодательство Венгрии перенимает основания возникновения ответственности из Директивы.
  
• В Латвии санкции по специальным положениям об ответственности, отличные от оснований, перечисленных в Статье 6.1, предусматривают: i) какое-либо нарушение или несоответствие законам, правилам и условиям доставки сертификатов в соответствии с реестром и ii) ненадлежащее использование данных для создания и проверки подписи.
  

Перечень оснований возникновения ответственности также был удлинен в двух из стран-кандидатов:

• Законы Болгарии предусматривают, во всех случаях, ответственность ПСУ за соответствие между данными для создания подписи и данными для проверки подписи, независимо от того, генерировали они эти данные или нет (это условие изложено в Статье 6). Более того, специальные основания привлечения к ответственности включают все случаи невыполнения предусмотренных болгарскими законами для ПСУ обязанностей (достаточные финансовые ресурсы, использование надежных систем и т.д.).
  
• Законодательство Румынии еще больше расширяет область применения Статьи 6, так как включает в специальный раздел об ответственности ряд обязанностей и обязательств, которые ПСУ должен выполнять в процессе предоставления услуг, включая требования Приложения II.
  

В некоторых законах присутствуют дополнительные указания на нерегистрацию отзыва сертификата, например:

• Законодательство Швеции: неспособность обеспечить точные дату и время выдачи/отзыва сертификата;
  
• Законодательство Венгрии: неспособность известить пользователей о положениях и условиях, на которых предоставляется услуга
  
• Законы Болгарии: невыполнение некоторых обязательств, которые названы в законе и требуют действий со стороны ПСУ, например, обязанность выдать сертификат, если все требования выполнены и проверены, обязанность зарегистрировать сертификат в каталоге.
  
• Законы Австрии: невыполнение ПСУ конкретных обязанностей, относящихся к надежности предоставляемых сертификационных услуг и/или компонентов и процедур для создания подписи. Эти нарушения охватываются статьей об ответственности, транспонирующей Статью 6.1.
  

К важнейшим последствиям этих дополнений относится то, что презумпция причинности расширяется, захватывая все больше случаев привлечения к ответственности «в связи с неспособностью или небрежностью», отличных от тех, что указаны в Статье 6.2.

2.3.3.2 Вывод

Следует отметить, что все страны проявили усердие при включении в свое законодательство оснований возникновения ответственности, определенных в Статье 6. Они выбирали из трех различных направлений:

1. Привести список оснований возникновения ответственности по Директиве, связанных с бременем доказательства обратного. Так произошло в большинстве обследованных стран Европы.
   
2. Добавить новые обязанности и обязательства в список из Статьи 6. Говоря в общем, это имеет место в большинстве вступающих стран и стран-кандидатов, но также и в некоторых странах-членах ЕС (Дания, Швеция). В некоторых странах норма, предусматривающая ответственность, намного шире (Чешская республика, Румыния), так как презумпция причинности может быть фактически использована при любом невыполнении ПСУ своих обязанностей/обязательств в качестве провайдера квалифицированных сертификатов (Приложение II к Директиве).
   
3. Использовать положения об общей ответственности (например, Германия), не приводя список оснований возникновения ответственности, но подразумевая его. Таким образом, смысл этих общих положений включает правила Директивы о минимальной ответственности.
   

Что касается содержания оснований привлечения к ответственности, поразительно, что многие страны внесли в качестве дополнительных оснований обязательства ПСУ в связи с отзывом/приостановлением действия сертификатов (например, передавать связанную с этим информацию и т.д.). Другие страны под этими жесткими положениями об ответственности предусматривают санкции за бездействие или нарушение, допущенное ПСУ в связи с выдачей квалифицированных сертификатов (Приложение II) или предоставлением надежных сертификационных услуг в целом.

Расширение списка оснований привлечения к ответственности разрешено Директивой (см. Статью 6 и Декларацию факта 22). Тем не менее, строгий режим ответственности может стать препятствием на пути создания ПСУ в тех странах, где такие правила действуют. С другой стороны, связывание общих норм ответственности с презумпцией причинности, установленной в Статье 6, может привести к разрозненности внутреннего рынка, так как i) ПСУ придется учитывать правила представления доказательств, в зависимости от того, в какой стране зарегистрированы они или их субконтракторы, а ii) презумпция «причинности» может стать более правилом, нежели исключением (что, кажется, является целью Директивы) в тех случаях, когда какое-либо нарушение или ущерб могут быть истолкованы как подпадающие под положения об общей ответственности, что имеет место в некоторых странах.

2.3.4 Бремя доказательства

2.3.4.1 Описание

В связи с основаниями привлечения к ответственности и бездействием, описанными в Статье 6, Директива вводит бремя доказательства обратного в пользу пострадавшей стороны: любая сторона, доверившаяся сертификату и понесшая ущерб в результате этого, не должна демонстрировать причину получения ущерба, если последний понесен по одному из оснований привлечения к ответственности, указанных в Статье 6. ПСУ будет считаться в отношении таких случаев ответственным де-факто («презумпция причинности»), пока не сможет доказать, что не действовал небрежно («опровержимая презумпция»).

2.3.4.2 Состояние выполнения

Большинство обследованных стран включили в свое законодательство бремя доказательства обратного в виде, предусмотренном Директивой. Стоит отметить, что те страны, которые транспонировали это правило, правильно его истолковали. Иными словами, доказательство конкретного объема и характера понесенного ущерба остается за истцом. Как только установлена точная причина понесенного ущерба, ПСУ будет автоматически считаться ответственным за то, что вызвало указанный ущерб. Все страны определили эту презумпцию как опровержимую, имея в виду право ПСУ доказать отсутствие небрежности в своих действиях (понятие и степень добросовестности, которую ПСУ следует показать, определяется национальным законодательством и юриспруденцией).

• Эстония — одна из стран, регулирующих ответственность ПСУ посредством общих положений («Провайдеры услуг отвечают за ущерб собственности, понесенный в результате нарушения провайдером услуг своих обязательств»). По сравнению с Директивой, презумпция причинности против ПСУ, допускающих небрежность, не сформулирована явно; применяются национальные правила представления доказательств.
  
• Нормы ответственности на Мальте прямо предусматривают презумпцию ответственностью только в связи с неспособностью зарегистрировать или опубликовать отзыв либо приостановку действия сертификата. «Бремя доказательства обратного» относится к невыполнению ПСУ других обязательств из Статьи, приводящих к ответственности, и коренится не в самих положениях об ответственности, но в общих принципах, управляющих мальтийским правом.
  
• С другой стороны, законодательство Венгрии (см. раздел выше) устанавливает бремя доказательства обратного также и в отношении дополнительных оснований возникновения ответственности, предусмотренных законами Венгрии.
  

2.3.5 Ограничения ответственности

2.3.5.1 Описание

Директива предусматривает два ограничения, за пределами которых ПСУ, выдающий квалифицированные сертификаты, не может привлекаться к ответственности: первое относится к ограничениям применения сертификата, а второе — к цене транзакций, для которых может использоваться сертификат.

Те же ограничения признаны в национальном законодательстве большинства обследованных стран.

• С одной стороны, Великобритания, с другой стороны, Швейцария и Эстония (здесь они считаются странами, которые не ввели Статью 6 дословно, но предусмотрели в своих законах ответственность ПСУ) не предусматривают такие исключения явным образом. Законодательство Эстонии указывает, что ПСУ не могут привлекаться к ответственности за ущерб, последовавший в результате правильного или неправильного применения сертификата, поскольку держатели сертификатов, как предполагается, должны нести такой риск.
  

В некоторых странах были включены дополнительные ограничения.

• Например, венгерское законодательство об электронных подписях указывает, что, в дополнение ограничениям Директивы, ПСУ не могут нести ответственность за применение квалифицированных сертификатов вне географической зоны, для которой они были выданы.
  
• Аналогично в Польше: ПСУ не могут нести ответственность за ущерб, последовавший от данных, которые содержатся в сертификате, выданном по запросу подписывающего лица.
  

2.3.6 Общие выводы

За немногими исключениями, все страны Европы предусмотрели специальные положения об ответственности, транспонирующие Статью 6 Директивы в национальное законодательство. Внутри ЕС соответствующие положения об ответственности у стран-членов ЕС следуют формулировкам и логике Статьи 6. В случаях, когда транспонирование не было прямым, общей тенденцией было представить более строгие нормы ответственности путем расширения области применения Статьи (в особенности расширения перечня оснований привлечения к ответственности, предусмотренного Директивой).

Возможность предусмотреть более высокую степень ответственности по сравнению с минимальными положениями, изложенными в Директиве, была использована значительным большинством вступающих стран, стран-кандидатов, стран ЕЭЗ и Швейцарией. Стоит отметить, что во многих случаях перечень оснований привлечения к ответственности намного шире предусмотренного Директивой. В некоторых случаях этот список также включает общую формулировку ответственности, предполагающую санкции за любое невыполнение ПСУ правил и норм предоставления сертификационных услуг, либо законов об электронной подписи в целом.