Исследование было проведено командой под руководством Джоса Думортье, профессора Факультета права и директора Междисциплинарного центра права и информационных технологий (icri) в K.

Вид материала

Исследование

Содержание 1.2 Результаты и рекомендации 1.2.2.2 Общие рекомендации 1.2.2.3 Надзор за провайдерами сертификационных услуг (ПСУ) 1.2.2.4 Добровольная аккредитация 1.2.2.5 Защищенные устройства для создания подписей 1.2.2.6 Исключение для государственного сектора 1.2.2.7 Квалифицированные электронные подписи 1.2.2.8 Правило об отсутствии дискриминации 1.2.2.10 Провайдеры трастовых услуг 1.2.2.11 Защита данных

Подобный материал:

• Программа для поступающих в магистратуру юридического факультета по специальности 6N0302, 233.7kb.
• Андрея Леонидовича Козика Приветственное слово декана юридического факультета уо фпб, 136.39kb.
• «Применение информационных технологий в исследовании проблем международного права», 229.79kb.
• Программа итогового (государственного) междисциплинарного экзамена Направление 521400, 379.29kb.
• «Применение информационных технологий в исследовании проблем международного частного, 275.51kb.
• Инженерно- физический факультет высоких технологий Инженерно-физический факультет высоких, 561.11kb.
• Тематика курсовых работ по теории государства и права для студентов заочного отделения, 31.51kb.
• Программа итогового междисциплинарного государственного экзамена по специальности 030501, 700.36kb.
• М. В. Ломоносова Кафедра истории, социологии и права Тесты, 245.78kb.
• Программа итогового междисциплинарного экзамена по специальности 080105 «финансы, 564.94kb.

1.2 Результаты и рекомендации

1.2.1 Результаты

Исследовательская группа обнаружила, что большая часть стран-членов ЕС более или менее добросовестно транспонировали¹ Директиву в национальное законодательство. Кроме того, многие из обследованных стран - не членов ЕС построили собственное законодательство в области электронных подписей и предоставления связанных с ними услуг на основе Директивы ЕС. С технической точки зрения, Директива даже повлияла на международные инициативы в области стандартизации, такие как работы IETF в области стандартизации квалифицированных сертификатов. Ясно, что Директива оказала влияние на юридическую и техническую деятельность за пределами границ ЕС. Примечательно, что новая терминология, представленная в Директиве (в особенности: Квалифицированный сертификат, Усовершенствованная электронная помощь, Провайдер сертификационных услуг), была принята в странах ЕЭС, Швейцарии, странах, входящих в ЕС и в странах-кандидатах.

Хотя общий дух Директивы был соблюден государствами-членами при транспонировании, некоторые вопросы, тем не менее, были определены как проблематичные. Эти проблемы большей частью можно отнести к неправильной трактовке формулировок Директивы, что, в свою очередь, ведёт к расхождениям в национальном законодательстве и/или расхождениям в практическом применении правил.

В отношении правил входа на рынок, оговоренных в Статье 3 Директивы, необходимо сделать следующие примечания. Позитивным моментом является то, что ни одна из обследованных стран-членов не заявляет о необходимости предварительного разрешения на предоставление услуг сертификации для провайдеров, зарегистрированных в другой стране-члене ЕС, тем самым формально соблюдая положения Статьи 3.1 о входе на рынок. Действительно, для ПСУ, учрежденного в одном государстве-члене, вполне возможно предоставлять услуги сертификации в другом государстве-члене ЕС, без необходимости запрашивать предварительное разрешение у национального органа. Это не было возможно нигде в Европе, пока Директива не была издана и транспонирована.

С другой стороны, различные государства-члены создали схемы надзора, очень близкие к предварительному утверждению и, возможно, нарушающие положения Статьи 3.1. Учитывая, что ПСУ были созданы во всех обследованных странах (за незначительными исключениями), а большая часть схем надзора находится ещё на ранних стадиях развития, пока невозможно сравнивать практические результаты работы этих схем. Тем не менее, стало очевидным существование очень существенных расхождений между различными схемами надзора в государствах-членах. Хотя влияние этих расхождений остается ограниченным, а большинство ПСУ работают исключительно на своей родине, расхождения начнут оказывать негативное влияние с началом запуска европейскими и неевропейскими провайдерами услуг новых зарубежных сервисов на территории ЕС.

Помимо этого, правила добровольной аккредитации, изложенные в Директиве, видимо, неправильно поняты национальными правительствами. Многие страны Европы ошибочно полагают, что схемы добровольной аккредитации представляют собой средство контроля за тем, действует ли провайдер сертификационных услуг в соответствии с положениями Директивы. Еще одним тревожным наблюдением является то, что схемы добровольной аккредитации во многих европейских странах на практике оказываются не совсем добровольными. Типичный пример: многие национальные программы «электронного правительства» принимают в качестве участников только аккредитованных ПСУ, тем самым непрямым образом обязывая ПСУ получать аккредитацию. Такое развитие событий, естественно, не соответствует духу Директивы.

В том, что касается так называемого «исключения для государственного сектора» из Статьи 3.7, позволяющего государствам-членам использовать электронные подписи в госсекторе, предъявляя дополнительные требования, мы обнаружили расхождения и в толковании, и в выполнении данной нормы. Становится ясным, что во многих странах использование электронных подписей в государственном секторе обусловлено дополнительными требованиями (к безопасности). Электронное сообщение с государственными органами во многих странах Европы возможно только при использовании электронных подписей на основе квалифицированных сертификатов, выданных аккредитованным ПСУ. Следует напомнить государствам-членам, что наложение дополнительных условий может объясняться только объективными причинами и должно быть связано исключительно с особенностями области применения. Кроме того, государства-члены должны гарантировать, что их инициативы не нарушают основные правила конкуренции.

Что касается оценки соответствия защищенных устройств создания подписей (SSCD), многие страны, похоже, весьма неохотно назначают собственные уполномоченные органы для оценки соответствия SSCD. Возможно, это связано с очень высокими требованиями к безопасности SSCD и отсутствием активных производителей в большинстве стран. Еще одной причиной являются большие затраты ресурсов на деятельность органов, проводящих оценку соответствия. Сам процесс оценки продукта, как правило, очень затратный как в отношении финансов, так и в отношении времени. К прочим причинам нежелания производителей проводить оценку своей продукции относится то, что результаты оценки являются действительными в течение лишь небольшого времени (требуется повторная оценка), и оценка соответствия «замораживает» продукт, не давая возможности более его менять (например, с целью закрыть уязвимость безопасности) без аннулирования результатов оценки. Следовательно, хотя небольшое количество SSCD уже прошли оценку соответствия, все они оценивались относительно небольшим количеством компетентных организаций. Только в Австрии, Германии и Чешской Республике количество продуктов, прошедших оценку соответствия, превысило два. В ряде стран (Австрия, Германия) продукты для электронной подписи, отличные от SSCD, также прошли оценку соответствия.

Принцип отсутствия дискриминации в отношении электронных подписей, который регулируется Статьей 5.2 Директивы, переняла большая часть национальных законодателей. Тем не менее, прямое транспонирование Статьи 5.2 имело место не во всех случаях, а в тех странах, где это было сделано, сфера применения Статьи 5.2 не всегда охватывалась во всей её полноте. Пока неясно, окажет ли это не очень чёткое транспонирование влияние на правовое применение электронной подписи. Таким образом, потребуется пристальное наблюдение за тем, как электронные подписи будут рассматриваться будущим национальным законодательством и прецедентным правом.

Будет преждевременным делать выводы о позиции судей в отношении электронной подписи, учитывая, что к настоящему времени зафиксировано очень мало судебных прецедентов по этому вопросу. Несомненно, до последнего времени объем судебных прецедентов, прямо связанных или просто вызывающих появление вопросов, связанных с электронными подписями остается слишком небольшим и разрозненным, чтобы судить о мнении судей по данному предмету.

Что касается юридической силы квалифицированных электронных подписей (этот вопрос регулируется Статьей 5.1 Директивы), в большинстве стран Европы отмечена общая тенденция прямо признавать эквивалентность собственноручной подписи и конкретного «типа» электронной подписи, устанавливая условия, аналогичные или незначительно отличающиеся от определенных в Статье 5.1. Тем не менее, важно знать, что Директива обязывает государства-члены лишь гарантировать, что квалифицированная электронная подпись, говоря юридическим языком, имеет тот же статус, что и собственноручная подпись, но не регулирует законное применение и юридические последствия собственноручной подписи и, тем самым, также и юридические последствия квалифицированной электронной подписи. Законное использование и юридические последствия (какие операции требуют наличия подписи, какова доказательная сила подписи и т.д.) остаются в компетенции национального законодательства.

Квалифицированные электронные подписи должны соответствовать требованиям, приведенным в первых трех Приложениях к Директиве. В связи с этим очень важным является правильное транспонирование Приложений в национальное законодательство. Приложение I выполняется в большинстве обследованных стран очень похоже. Единственная угроза связана с проблемами совместимости, которые могут возникнуть при расхождениях в технической реализации норм Положения I, например, при отказе от использования ETSI TS 101 862 или иного общего формата для преобразования требований Приложения I. Поэтому Комиссии следует способствовать использованию стандартов совместимости для технической реализации Приложения I. При применении Приложения II уровень реализации иногда очень отличается; это означает, что в создании и деятельности ПСУ будут существенные различия. В связи с этим любой организации, намеревающейся учредить ПСУ в нескольких странах, придется приспосабливаться к различным требованиям и процедурам. Производители продукции также испытают сложности с созданием продуктов для этого разрозненного рынка. Кроме того, некоторые страны предъявляют подробные и ненужные дополнительные требования к ПСУ, создавая тем самым барьеры для их создания. Поэтому Комиссии следует указывать на все ненужные и излишние требования к ПСУ, которые могут восприниматься как рыночные барьеры. В реализации Приложения III также отмечается разрозненность. Так, требования к SSCD в Австрии и Польше намного выше, чем в некоторых других странах Европы. В том, что касается Приложения IV, Статья 3.6 выражается достаточно ясно. Данный список содержит лишь рекомендации, которые следует принять во внимание государствам-членам и Европейской комиссии в процессе совместной работы по содействию развитию и применению устройств для проверки подписей. Это ни в коем случае не должно становиться обязательными требованиями на национальном уровне, как сделали некоторые из государств-членов ЕС.

За очень немногими исключениями, все страны Европы предусмотрели специальные положения об ответственности, транспонирующие Статью 6 Директивы в национальное законодательство. Внутри ЕС соответствующие статьи об ответственности в законодательстве стран-членов следуют формулировкам и логике Статьи 6. В тех случаях, когда транспонирование не было прямым, общей тенденцией было ужесточение ответственности путем расширения области применения Статьи, в особенности путём расширения перечня оснований возникновения ответственности, изложенного в Директиве.

Все страны, охваченные исследованием, установили в своем национальном правила официального признания иностранных квалифицированных сертификатов на своей территории. Различия между внутренними и иностранными сертификатами не делают только Ирландия, Великобритания и Мальта. Большая часть стран ЕС и ЕЭС добросовестно транспонировали условия Статьи 7 в национальное законодательство. В странах, готовящихся вступить в ЕС и в странах-кандидатах ситуация выглядит отчасти более сложной.

Реализация правил защиты данных из Статьи 8 в национальном законодательстве, очевидно, не вызвала каких-либо серьезных затруднений. Впрочем, некоторые страны неправильно ввели в исполнение Статью 8.2. В этих странах ПСУ не обязан следовать более строгим правилам в области защиты данных, хотя ПСУ, учрежденный в другом государстве-члене ЕС, должен соблюдать национальные правила. Это может стать причиной жалоб на недобросовестную конкуренцию и, тем самым, создать барьеры на внутреннем рынке. Требуется дальнейшее обсуждение того, насколько реалистичны строгие правила Статьи 8.2 в отношении ПСУ, выдающих сертификаты гражданам, учитывая, что большая часть данных, находящихся в распоряжении ПСУ, поступает от третьих лиц, таких как местные органы регистрации. Использование псевдонимов в сертификатах запрещено только в двух из обследованных стран. Только эстонское и болгарское законодательство в области электронной подписи по национальным правилам выдачи квалифицированных сертификатов запрещает использование псевдонимов. Многие страны требуют раскрытия реальных имен государственным органам по требованию и с соблюдением ряда строгих условий.

Важный вопрос, который необходимо задать, состоит в том, какая в Европе на самом деле польза от электронных подписей? Количество поднадзорных и аккредитованных ПСУ, выдающих квалифицированные сертификаты в европейских странах, существенно варьируется от страны к стране; при этом во многих странах есть только один или вообще нет ПСУ. В тех странах, где было выдано большое количество квалифицированных сертификатов, это объясняется почти исключительно той или иной формой государственного стимулирования. В настоящее время отсутствует естественная потребность рынка в квалифицированных сертификатах и связанных с ними сервисах. Самая большая область применения электронных подписей в Европе, как правило, связана с предоставлением электронных банковских услуг закрытому кругу пользователей, что оказывается вне сферы регулирования Директивы. Очень немногие области применения, охватываемые Директивой и используемые в настоящее время, практически полностью замыкаются на «электронном правительстве».

Интересно отметить, что многие поставщики программно-аппаратных ресурсов, действующие на рынке в настоящее время, ошибочно считают наличие квалифицированных электронных подписей в своих приложениях минимальным условием соответствия требованиям законов, что ведёт к неоправданным издержкам и усложнению планирования и разработки для применения квалифицированных электронных подписей.

Развитие технологий идёт быстрыми темпами, и в ближайшем будущем многие технические решения в области электронной подписи будут основываться на новейших технологических достижениях, таких как новые защищенные компьютерные системы, мобильные подписи и серверы подписей. Поэтому органы надзора, уполномоченные органы и все, кто участвует в регламентировании в сфере квалифицированных электронных подписей, должны без предубеждения относиться к этим технологиям и не ограничивать оценку безопасности только тем, что известно и доступно на сегодняшний день.

Недостаток совместимости, как на национальном, так и на наднациональном уровне, является серьезным препятствием на пути принятия рынком и дальнейшего распространения электронных подписей. Он привел к появлению множества изолированных «островов» в сферах применения электронной подписи, где для конкретной области применения могут использоваться сертификаты только одного центра сертификации. Только в небольшом числе случаев сертификаты нескольких центров могут использоваться для нескольких приложений. По этой причине ещё раньше следовало гораздо больше сделать для обеспечения совместимости на европейском уровне.

В ходе реализации программы EESSI (Европейская инициатива в области стандартизации электронных подписей) были разработаны несколько стандартов, совместимых с Директивой. Однако задержка между разработкой стандартов и публикацией ссылок на них в Официальном бюллетене привела к тому, что отдельные страны либо разработали собственные технические интерпретации Директивы (что привело к расхождению национальных требований в разных странах), либо дожидались разработки стандартов, что привело к отсутствию на рынке производителей товаров и услуг. До публикации ссылок на стандарты в Официальном бюллетене в июле 2003 года ясности в отношении стандартов, приемлемых для всех государств-членов ЕС, не было. Еще одной угрозой совместимости является то, что в настоящее время существует единственный набор стандартов в отношении квалифицированных электронных подписей (на основе PKI), что может воспрепятствовать применению новых технологий для квалифицированных электронных подписей.

1.2.2 Рекомендации

1.2.2.1 Введение

Наша первая рекомендация — не вносить изменений в Директиву. Подобные изменения следует считать крайней мерой, которая используется, только когда все другие меры признаны недостаточными. Внесение поправок в Директиву — длительный и трудоемкий процесс, которого следует по возможности избежать. Как и все Директивы ЕС, Директива об электронной подписи вне всяких сомнений является прекрасным нормативным актом. Это компромисс, достигнутый в ходе продолжительных и сложных переговоров между 15 государствами-членами ЕС, имевшими очень разные точки зрения на данный вопрос. Наш главный вывод состоит в том, что текст Директивы отвечает всем требованиям для того, чтобы выполнять свои задачи в ближайшем будущем; в то же время он нуждается в уточнении и новом толковании.

1.2.2.2 Общие рекомендации

• Главной целью Директивы было создание в Сообществе базовых условий для применения электронных подписей, обеспечивающих беспрепятственный товарооборот за пределами национальных границ и предоставление услуг, а также официальное признание электронной подписи в законодательстве на территории ЕС. Ясно, что эта цель не была полностью достигнута. Тем не менее, отрицательный результат не обязательно связан с самой Директивой, а, скорее, с тем, как она была введена в действие в государствах-членах ЕС. Некоторые из положений Директивы, по всей видимости, были неправильно поняты, а государства-члены в процессе транспонирования Директивы в национальное законодательство не всегда принимали во внимание общеевропейскую перспективу развития этой новой регулирующей основы. Поэтому наша точка зрения на данный момент состоит в том, что существует насущная потребность в последовательном, ясном и реальном повторном истолковании положений Директивы.
  
• Мы считаем, что Комиссии следует в первую очередь и главным образом исследовать пути утверждения такой трактовки Директивы, которая в большей степени была бы ориентирована на Сообщество. Конечно, окончательное решение о правильности толкования норм европейского законодательства принимает Европейский суд. В то же время Комиссия способна выпустить не имеющий обязательной силы документ, способный существенно повлиять на ситуацию с электронными подписями в Европе. Издание такого документа можно дополнить рядом практических мер, реализуемых в короткие сроки.
  

1.2.2.3 Надзор за провайдерами сертификационных услуг (ПСУ)

• Обследованные в рамках данной работы страны Европы, видимо, испытывают сложности с нахождением компромисса между «необходимым надзором» за деятельностью провайдеров сертификационных услуг и полным запретом на работу без предварительного разрешения. В связи с этим было бы полезно опубликовать руководящие указания по организации надзора с целью привести его в соответствие с положениями Директивы.
  
• Европейская Комиссия может принять меры против государств-членов, которые создали схемы надзора за ПСУ, ведущие к мерам, равносильным предварительному разрешению.
  
• Руководящие указания, которые желательно опубликовать Европейской Комиссии, также могут внести ясность в ряд неразрешенных юридических вопросов в данной сфере. Одним из сложнейших вопросов является определение того, что на деле значит для ПСУ понятие «быть учрежденным на территории» (например, организация, выдающая сертификаты, учреждена в одной стране-члене ЕС, но работает с центрами регистрации, провайдерами служб каталогов и т.д. в других странах-членах — кто будет отвечать за организацию надзора?).
  
• Не все государства-члены внедрили соответствующие схемы надзора за деятельность ПСУ, выдающих гражданам квалифицированные сертификаты. Комиссии следует принять меры в отношении этих стран, так как данная ситуация создает возможность того, что ПСУ, учрежденные в таких странах, будут выдавать квалифицированные сертификаты в других государствах-членах, оставаясь в то же время вне надлежащего контроля над своей деятельностью.
  
• Идеальным решением является гармонизация систем надзора в государствах-членах, хотя бы до определенной степени. Мы думаем, что необходима поддержка инициатив в этом направлении. С нашей точки зрения, Комиссия должна осудить попытки надзора за ПСУ, не выдающими квалифицированных сертификатов гражданам.
  
• Так как EESSI уже опубликовала в этой области ряд важных документов, рекомендуется поощрять обращение к этим спецификациям со стороны органов надзора. В то же время, с нашей точки зрения, необходимо пристальное наблюдение за тем, как надзорные органы применяют данные спецификации. Документы по стандартизации описывают возможные способы выполнения требований Директивы, но ПСУ, желающие выдавать гражданам квалифицированные сертификаты, ни в коем случае не должны считать их обязательными. Если ПСУ считает, что соответствует требованиям Приложений, он может выдавать квалифицированные сертификаты гражданам, не запрашивая на это предварительное разрешение.
  

1.2.2.4 Добровольная аккредитация

• Необходимо предпринять меры по разъяснению позиции европейских законодателей в отношении к схемам добровольной аккредитации для провайдеров сертификационных услуг. На наш взгляд, следует поощрять диверсификацию этих схем и их аккредитацию за рубежом. С другой стороны, Комиссия должна, насколько это возможно, препятствовать созданию национальных систем аккредитационных схем для провайдеров сертификационных услуг, выдающих гражданам квалифицированные сертификаты. Системы аккредитации в первую очередь должны заниматься оценкой передового опыта и надлежащих методов защиты, а не рассматриваться как средства контроля за соблюдением Директивы или норм национального законодательства.
  
• Учитывая нехватку высококлассных специалистов в области информационной безопасности, а также относительно небольшое количество ПСУ, Комиссии следует способствовать объединению усилий на уровне Сообщества. Цель — создать ограниченное количество высококлассных европейских схем аккредитации, которые будут сосредоточиваться или специализироваться на конкретных категориях услуг в области сертификации для областей применения.
  

1.2.2.5 Защищенные устройства для создания подписей

• Отчасти в связи с тем, что Директива предъявляет в настоящее время очень высокие требования к защищенным устройствам для создания подписей, подобные устройства редко появляются на рынке. Чтобы стимулировать производство защищенных устройств создания подписей, требования в области официальной оценки соответствия в будущем должны стать более гибкими, а процедуры получения свидетельств о соответствии — менее длительными и менее затратными. Европейской комиссии следует поддерживать все инициативы в этом направлении.
  
• В том, что касается правил, которые должны соблюдать организации, ответственные за проведение оценки соответствия, Комиссия должна обеспечить общее руководство и координацию действий. Решение Комиссии от 2000 года о минимальных критериях при назначении органов, проводящих оценку соответствия, является важным первым шагом, но оно требует дальнейших действий. Необходимо отслеживать независимость, прозрачность и отсутствие дискриминации в оценочных процедурах.
  
• На взгляд авторов настоящего исследования, абсолютно необходимо развеять впечатление того, что каждое защищенное устройство создания подписей следует провести через навеянную Общими Критериями громоздкую процедуру оценки со стороны ответственного органа. Вместо этого нужно поощрять проведение упрощенных процедур оценки на основе 50-100 страниц документации, требующих 10-20 дней проверки. С целью не допустить самооценки, независимая сторона должна иметь возможность анализировать претензии к безопасности (в том, что касается Приложения III), предъявленные провайдером, и, до определенных пределов, проверять их соответствие текущему положению дел. Комиссии следует исследовать, как она сможет обеспечить выполнение обязательства представлять защищенные устройства создания подписей органам, ответственным за оценку соответствия, которые в настоящее время существуют во многих государствах-членах. Осуждение слишком строгой оценки соответствия может расширить ассортимент продуктов и, в то же время, защитить потребителей.
  

1.2.2.6 Исключение для государственного сектора

• Комиссии следует акцентировать внимание на условиях, которые необходимо выполнить, чтобы государство-член смогло использовать «исключение для государственного сектора» Статьи 3.7 Директивы. Государства-члены должны осознать, что правило отсутствия дискриминации согласно Статье 5.2 Директивы относится не только к частному, но и к государственному сектору.
  
• Комиссия должна внимательнее изучить соответствие отдельных инициатив в области «электронного правительства» не только в связи с положениями Директивы об электронной подписи, но и в связи с общими правилами конкуренции в ЕС, особенно в отношении Статьи 86 Договора о создании Европейского Сообщества.
  
• В общем, необходимо провести более детальное исследование того, к каким последствиям для внутреннего рынка приведут программы «электронного правительства» государств-членов. Существует явная угроза того, что эти программы приведут к возникновению национальных барьеров, разобщенности и несовместимости.
  
• Инициативы в области улучшения совместимости программ «электронного правительства» и в особенности относящихся к ним приложений для электронной подписи, должны инициироваться и поддерживаться на европейском уровне.
  

1.2.2.7 Квалифицированные электронные подписи

• В отношении Статьи 5.1 главным образом необходимо внести ясность в сферу действия данного положения. Заинтересованным сторонам следует дать понять, что: 1) «Квалифицированная электронная подпись» — это не синоним «юридически действительной электронной подписи», и 2) выполнение требований к Квалифицированной электронной подписи является одним из требований, но не единственным требованием, дающим возможность применения правил собственноручной подписи.
  
• С общеевропейской точки зрения, успешное применение Статьи 5.1 всецело зависит от наличия очень хорошо стандартизированной и легко распознаваемой европейской «квалифицированной электронной подписи», включая не только критерии для устройств создания подписей и для сертификатов, но и определение полной цепочки подписей и проверки подписей.
  
• Стандартизированная «квалифицированная электронная подпись» должна лишь указывать пользователям на то, что подпись, соответствующая данному стандарту, будет считаться эквивалентной собственноручной подписи на всей территории Европы.
  
• Необходимо препятствовать включению государствами-членами в свои новые нормативные акты ссылок на «квалифицированные электронные подписи». Понятие «квалифицированной электронной подписи» должно применяться главным образом по своему первоначальному назначению, то есть для того, чтобы электронная подпись была автоматически признана, и положения законодательства, относящиеся к собственноручным подписям, относятся и к электронным.
  
• Государствам-членам следует дать понять, что концепция «квалифицированной электронной подписи» окажет наибольшую пользу при международных операциях в Европе. Она служит «паспортом», который гарантирует применение в каждом государстве-члене тех же правил, что применяются в отношении собственноручной подписи.
  
• Приложения были более или менее точно транспонированы в национальное законодательство практически всеми обследованными странами. Осталось обеспечить ускорение их ввода в действие на территории Европы. Следует поддерживать любую инициативу в этом направлении. С другой стороны, реализацию Приложений на национальном уровне следует безоговорочно осудить.
  
• Комиссия может рассмотреть возможность принятия мер против государств-членов, неверно транспонировавших Приложения, например, превративших рекомендации из Приложения IV в требования к квалифицированным электронным подписям на национальном уровне.
  

1.2.2.8 Правило об отсутствии дискриминации

• В том, что относится к Статье 5.2, существует насущная потребность в разъяснении. Все заинтересованные стороны должны быть лучше проинформированы о целях и области применения данной нормы.
  
• Комиссия должна систематически проверять, появилось ли в государствах-членах законодательство, относящееся к квалифицированным или аккредитованным электронным подписям, и выявлять случаи, когда такие ссылки не соответствуют правилам Статьи 5.2.
  

1.2.2.9 Стандартизация

• Комиссия и государства-члены должны обеспечивать правильное выполнение государствами-членами презумпции соответствия стандартам, включенным в Официальный бюллетень. В настоящее время это не везде так.
  
• Комиссия и государства-члены должны способствовать продолжению работы над стандартами, которые относятся к Приложению II (f) и Приложению III, с целью содействия использованию альтернативных технологий для квалифицированных электронных подписей. Хотя большая часть современных стандартов является нейтральной в отношении технологий (насколько позволяют рамки PKI), они, например, все еще отдают предпочтение смарт-картам как защищенным устройствам создания подписей (SSCD).
  
• Необходимо обеспечить сохранение в силе стандартов, включенных в Официальный бюллетень, либо передав CWA более постоянному органу (например, ETSI), либо подняв статус CWA до уровня Европейских норм.
  
• Комиссии следует срочно обеспечить принятие единых спецификаций алгоритмов и параметров, а также общей процедуры поддержания актуальности этих спецификаций.
  
• Сложность проблем архивации и проверки подлинности документов, подписанных электронным способом, спустя значительное время после подписания, зачастую воспринимается как препятствие применению электронной подписи. Комиссии следует способствовать работе над руководящими указаниями и стандартами в этих областях.
  
• Комиссии и государствам-членам необходимо найти способы продвижения или рекомендации стандартов совместимости, уже разработанных ETSI, в рамках системы EESSI.
  
• Комиссия должна поддержать работу, которая делается в EUCLID и CEN Workshop над методами электронной аутентификации, направив её в русло разработки необходимых европейских стандартов, с учётом результатов EESSI, PKI Challenge и других проектов.
  
• Комиссия должна создать или способствовать созданию Европейского форума по проблемам электронной подписи, нацеленного на ПСУ, поставщиков продукции и приложений в целью стимулировать разработку и применение стандартов, а также, возможно, создание испытательных площадок для проверки совместимости.
  
• Возможно, будет полезной систематическая проверка существующих документов в области стандартизации с точки зрения пользователя. В том, что касается квалифицированных электронных подписей, целью всех мероприятий в области стандартизации должна быть разработка спецификаций решения, дающего пользователю возможности использовать электронные подписи в масштабе всей Европы. Такое решение должно учитывать все аспекты электронной подписи, не только включая всю цепочку подписей, но и уделяя внимание проблемам, актуальным для среднестатистического пользователя, таким как простота применения, языковые барьеры, цена и т.д.
  

1.2.2.10 Провайдеры трастовых услуг

Директива в первую очередь ориентируется на единственную бизнес-модель, которая находилась в центре внимания с 1998 по 2000 год, но затем постепенно вытеснялась в силу более сложной и неоднозначной рыночной ситуации. По этой причине регулирующие документы включают, например, очень подробные правила для поставщиков сертификатов, но ничего не говорят о других категориях провайдеров сертификационных услуг. Потребность в регулировании в отношении других провайдеров трастовых услуг, тем не менее, является как минимум столь же насущной, что и в отношении провайдеров сертификационных услуг. Например, существует явная потребность в правовом регулировании для провайдеров служб архивации или услуг заказной почты. С точки зрения пользователя, совершенно непонятно, почему такие сервисы остаются совершенно без контроля, тогда как для поставщиков сертификатов в то же время создана сложная база правового регулирования. В связи с этим мы рекомендуем провести исследования потребностей в правовом регулировании других категорий трастовых услуг.

1.2.2.11 Защита данных

И последнее, хотя и не менее важное: необходимо совместить электронную аутентификацию с защитой персональных данных. Действующая в Европе система правового регулирования главным образом ориентируется на использование удостоверений личности (identity certificates). В последнее время в центр внимания попало улучшение защиты частной жизни в сетевой среде. Были проведены исследования различных возможностей совмещения электронной аутентификации с необходимостью сохранения анонимности или использования нескольких виртуальных личностей. Инициативы Евросоюза по продвижению современных методик защиты персональных данных своих граждан не должны противоречить правовой базе в области электронных средств аутентификации. Необходимы дальнейшие изыскания путей совмещения анонимности и применения псевдонимов с положениями Директивы об электронных подписях.