Исследование было проведено командой под руководством Джоса Думортье, профессора Факультета права и директора Междисциплинарного центра права и информационных технологий (icri) в K.

Вид материала

Исследование

Содержание 5.4 Содействие юридическому признанию электронных подписей 5.4.1 Квалифицированные электронные подписи 5.4.2 Реализация Приложений 5.4.3 Отсутствие дискриминации (Статья 5.2)

Подобный материал:

• Программа для поступающих в магистратуру юридического факультета по специальности 6N0302, 233.7kb.
• Андрея Леонидовича Козика Приветственное слово декана юридического факультета уо фпб, 136.39kb.
• «Применение информационных технологий в исследовании проблем международного права», 229.79kb.
• Программа итогового (государственного) междисциплинарного экзамена Направление 521400, 379.29kb.
• «Применение информационных технологий в исследовании проблем международного частного, 275.51kb.
• Инженерно- физический факультет высоких технологий Инженерно-физический факультет высоких, 561.11kb.
• Тематика курсовых работ по теории государства и права для студентов заочного отделения, 31.51kb.
• Программа итогового междисциплинарного государственного экзамена по специальности 030501, 700.36kb.
• М. В. Ломоносова Кафедра истории, социологии и права Тесты, 245.78kb.
• Программа итогового междисциплинарного экзамена по специальности 080105 «финансы, 564.94kb.

5.4 Содействие юридическому признанию электронных подписей

Декларация факта (20) Директивы предсказывает, что «гармонизация критериев, относящихся к юридическим последствиям электронной подписи, обеспечит сохранение согласованной правовой основы на всей территории Сообщества». Новая европейская правовая система в этой связи включает два главных правила:

1. Усовершенствованные электронные подписи должны расцениваться всеми странами-членами как аналоги собственноручных подписей, если первые основаны на квалифицированном сертификате и созданы посредством защищенного устройства для создания подписей.
   
2. Электронным подписям ни в коем случае не может быть отказано в юридической силе или допустимости применения в судебных процессах на том лишь основании, что они представлены в электронном виде, не основаны на квалифицированном сертификате, не основаны на сертификатах от аккредитованных провайдеров или не были созданы на защищенном устройстве для создания подписей.
   

5.4.1 Квалифицированные электронные подписи

Европейским законодателям было ясно, что «национальные законы устанавливают различные требования в отношении юридической силы собственноручных подписей». Целью явно было не гармонизовать требования к юридической силе электронных подписей, но установить в каждой стране-члене соответствие между правовым статусом собственноручных подписей в отношении бумажных документов и правовым статусом электронных подписей в электронной среде. Иными словами, европейские законодатели попытались установить тип электронной подписи, которые впоследствии должен рассматриваться в каждой стране-члене в качестве эквивалента собственноручной подписи. Тип электронной подписи, выбранный европейскими законодателями, — это так называемая квалифицированная электронная подпись, описанная Статьей 5.1 Директивы: усовершенствованная электронная подпись на основе квалифицированного сертификата, созданная при помощи защищенного устройства для создания подписей. От стран-членов требовалось установить для такого типа электронных подписей тот же правовой статус, что установлен национальными законами для собственноручной подписи.

Понятно, что в результате такого решения правовой статус квалифицированных электронных подписей между странами-членами гармонизирован не был. Требования законов к собственноручным подписям варьируются в зависимости от страны-члена. Квалифицированные электронные подписи имеют тот же статус, что и собственноручные. Следовательно, юридические требования к квалифицированным электронным подписям также остаются различными в каждой из стран-членов. Этот принцип выражен в Декларации факта (20)⁶⁴, и очень важен для понимания многих дискуссий вокруг транспонирования Статьи 5.1, которые ведутся в странах-членах.

Следует прояснить, что европейские законодатели предпочли решение при котором правовой режим квалифицированных электронных подписей «сопровождает» национальный правовой режим для собственноручных подписей. Если в стране-члене предусмотрены, например, очень строгие правила в отношении юридической действительности собственноручных подписей для определенного вида договоров, то эта страна-член примет те же самые правила в отношении квалифицированных электронных подписей для этого же вида договоров. Если другая страна-член установила гибкие правила в отношении собственноручных подписей для этого типа договора, то правила использования квалифицированных электронных подписей для этого же типа договора тоже будут гибкими. Иначе говоря, правовой режим собственноручных подписей является точкой отсчета, а основной принцип предполагает предоставление квалифицированным электронным подписям в электронной среде того же правового статуса, что и для собственноручным подписям в «бумажной» среде.

В ходе транспонирования Директивы некоторые из стран-членов, в частности Великобритания, обнаружили, что в их правовой системе нет юридических норм, относящихся к собственноручной подписи. Из отсутствия национального законодательства по применению собственноручных подписей следует отсутствие правового статуса квалифицированных электронных подписей. Более того: если правовая система не различает понятие «собственноручной подписи», ввод в действие норм, устанавливающих равнозначность статуса собственноручной и электронной подписи, оказывается невозможным. Очень трудно использовать что-то в качестве точки отсчета, если эта «точка отсчета» не существует вообще.

Еще одно следствие подхода, принятого в законодательстве ЕС, состоит в том, что правовой статус квалифицированной электронной подписи стал зависеть от правового статуса собственноручной подписи. Этот подход неявно основывается на том предположении, что будет (хотя и не бесконечно) существовать выбор из двух альтернатив; иными словами — подписывать собственноручно или электронным способом. Однако появляется все больше и больше специальных правил, относящихся к электронной среде и не касающихся «бумажной» среды. Нетрудно представить, что через десять или двадцать лет во многих сферах применения будут использоваться только электронные средства связи, а правила, действующие в отношении этих сфер применения, более не будут относиться к собственноручным подписям. Иными словами, собственноручная подпись будет постепенно утрачивать свое значение в качестве точки отсчета. Поэтому сомнительно, что концепция квалифицированной электронной подписи как «электронного аналога» собственноручной подписи сможет долго просуществовать. Так или иначе, в данный момент связывание квалифицированной электронной подписи с собственноручной подписью может оказаться полезным для правовых систем большинства стран-членов. Случится это или нет, в огромной степени зависит от того, насколько ясной является концепция «квалифицированной электронной подписи». Бессмысленно требовать от страны-члена признания за электронными подписями того же правового статуса, что и у собственноручной подписи, на том условии, что это «квалифицированная электронная подпись», особенно если эта концепция неодинаково понимается в ЕС. Гражданин Бельгии, который, например, хочет совершить электронную коммерческую операцию с греческой компанией с использованием квалифицированной электронной подписи, должен быть уверен, что его подпись будет иметь по законам Греции тот же правовой статус, что и собственноручная подпись. То, что я, будучи бельгийцем, считаю «квалифицированной электронной подписью», должно в том же качестве восприниматься греческими должностными лицами. Вся система, принятая европейскими законодателями, действует только при условии существования единой для всей Европы концепции «квалифицированной электронной подписи».

Самая сложная проблема Европейской Директивы об электронных подписях — это именно сложность точного определения того, что такое «квалифицированная электронная подпись». Конечно, её определение присутствует в Статье 5.1. Так, для неё необходим «квалифицированный» сертификат, который должен ссылаться на сам сертификат. Надзорные органы, документы и/или процедуры гарантируют, что ПСУ запрещено делать недостоверные заявления о квалифицированности сертификата. Защищенные устройства для создания подписей могут представляться органам, проводящим оценку соответствия. Эти органы, в свою очередь, дают подтверждение соответствия. В предшествующих главах мы наглядно продемонстрировали те трудности, с которыми придется столкнуться для того, чтобы обеспечить широкое распространение в Европе квалифицированных сертификатов и защищенных устройств для создания подписей. Тем не менее, эти проблемы не вытекают из текста Директивы; они скорее связаны с интерпретацией и последующим транспонированием этого текста в некоторых из стран-членов.

Также не следует забывать, что квалифицированная электронная подпись должна выполнять четыре требования к усовершенствованной электронной подписи. Существует ли уникальная связь между подписью и подписывающим лицом? Позволяет ли подпись идентифицировать подписывающее лицо, даже если его зовут Жан Дюпон? Была ли подпись создана средствами, которые подписывающее лицо может хранить в полном своем распоряжении? Связана ли она с данными, к которым относится, так, что любое последующее изменение данных может быть обнаружено?

Очень часто заявляют, что Директива концентрируется только на безопасности сертификатов и устройств для создания подписи с целью определить, отвечает ли электронная подпись требованиям Статьи 5.1. Это не совсем верно. Можно сказать, что квалифицированная электронная подпись должна выполнить шесть требований: четыре требования к усовершенствованной электронной подписи и два дополнительных требования, указанных в Статье 5.1. Действительно, для четырех правил в отношении усовершенствованных электронных подписей разъяснений в Приложениях нет, в отличие от подхода, принятого для квалифицированных сертификатов и SSCD. Однако, с юридической точки зрения, отсутствие дополнительных правил совершенно несущественно. Отсутствие более значительных положений по выполнению критериев усовершенствованной электронной подписи в первую очередь является практической проблемой, которая может быть решена в ходе дальнейшей стандартизации. Мы еще вернемся к вопросам стандартизации далее в этой главе.


Рекомендации

• В том, что касается Статьи 5.1, существует насущная необходимость разъяснения области применения этой нормы. Необходимо дать всем заинтересованным сторонам понять, что 1) «квалифицированная электронная подпись» — это не синоним «юридически действительной электронной подписи» и 2) выполнение требований квалифицированной электронной подписи — это один, но не единственный способ попасть под действие правил в отношении собственноручной подписи.
  
• С точки зрения европейской перспективы, успешная реализация Статьи 5.1 всецело зависит от наличия хорошо стандартизированной и общепризнанной «квалифицированной электронной подписи», включающей не только критерии для устройств создания подписей и сертификатов, но и описывающей полную цепочку подписей и их проверки.
  
• Стандартизированная «квалифицированная электронная подпись» должна лишь давать пользователям основания предполагать, что подпись, отвечающая тому стандарту, будет считаться эквивалентной собственноручным подписям на всей территории Европы.
  
• Следует препятствовать странам-членам в их стремлении включать ссылки на «квалифицированную электронную подпись» в новые правовые акты. Понятие «квалифицированной электронной подписи» главным образом должно применяться по основному назначению: автоматическое применение для электронных подписей тех же правил, что и для собственноручных подписей.
  
• Следует уведомить страны-члены о том, что понятие «квалифицированных электронных подписей» должно использоваться в основном для зарубежных операций в Европе. Оно служит паспортом, который гарантирует применение общих правил, тех же, что и в отношении собственноручной подписи, во всей Европе.
  

5.4.2 Реализация Приложений

В предшествующем параграфе мы разъяснили, что успех стратегии, принятой в Статье 5.1 Директивы, в огромной степени зависит от того, как на практике может быть распознана квалифицированная электронная подпись. Статья 5.1 определяет очень простое правило: «если это квалифицированная электронная подпись — с ней следует поступать как с собственноручной». Однако на том лишь условии, что квалифицированную электронную подпись легко отличить от любой другой. В идеале квалифицированная электронная подпись должна распознаваться так же легко, как и собственноручная.

Чтобы гарантировать это, европейское законодательство не только детально перечисляет требования, которым должны соответствовать сертификаты, провайдеры сертификационных услуг и устройства для создания подписей, но и гарантирует легкость распознавания квалифицированных сертификатов: 1) есть ли в сертификате упоминание «квалифицированный»? 2) получило ли устройство для создания подписи декларацию соответствия от назначенного органа?

Очевидно, что за этими простейшими средствами контроля может скрываться множество различий. Требования, которые должны быть выполнены для того, чтобы стать провайдером сертификационных услуг или получить декларацию соответствия для устройства создания подписей, существенно отличаются от страны к стране. Тем не менее, ясно, что эти расхождения сознательно не учтены европейскими законодателями. Если провайдер сертификационных услуг работает в качестве «квалифицированного» ПСУ в одной стране-члене под надзором уполномоченных органов этой страны, он должен признаваться как ПСУ в любой другой стране-члене. Если устройство для создания подписей признано оценочной организацией одной страны-члена соответствующим требованиям к SSCD, либо оно соответствует стандарту, включенному Европейской Комиссией в Официальный бюллетень, все прочие страны-члены должны будут принять это устройство в качестве SSCD.

Несмотря на простоту этих принципов, интересно обратить внимание, как требования к квалифицированным сертификатам, квалифицированным провайдерам сертификационных услуг и защищенным устройствам для создания подписей, перечисленные в Приложениях I-III Директивы, были транспонированы в странах Европы, охваченных данным исследованием. Даже если расхождения в реализации этих Приложений не приведут к существенным юридическим последствиям, факт остается фактом: более или менее одинаковая интерпретация этих технических требований является обязательным условием, гарантирующим, что квалифицированную электронная подпись, созданную в одной стране, будет технически возможно проверить в другой стране. Все это — проблема совместимости. Чтобы реализовать видение европейских законодателей («европейская» электронная подпись, которую можно использовать для международного обмена электронными сообщениями в рамках Союза и за его пределами), «квалифицированная электронная подпись» должна быть чем-то более или менее одинаковым на всей территории ЕС. Дополнительной проблемой, очевидно, является языковой барьер. Сертификаты содержат текст и ссылаются на другие документы, включая политики и регламенты действующей практики, и все эти тексты написаны на том или ином языке. Так, для ирландского пользователя будет настоящей проблемой чтение и понимание сообщений, сопровождающих сертификат, выданный в Греции, и наоборот. Максимальная стандартизация важнейших полей и сообщений либо использование в этих целях единого языка — единственный способ решения этой проблемы.

Наше исследование показывает, что реализация Приложения I мало отличалась в разных странах. Единственная угроза связана с проблемами совместимости, которые могут возникнуть при расхождениях в технической реализации Приложения I без применения ETSI TS 101 862 или другого единого формата. В связи с этим Комиссии следует содействовать использованию совместимых стандартов для технических применений Приложения I.

Что касается Приложения II, то его реализации действительно варьируются, то есть действия, необходимые для учреждения и ведения деятельности ПСУ, будут существенно различаться в разных странах. Любой организации, желающей открыть ПСУ в нескольких странах, придется адаптироваться к разным требованиям и процедурам. У производителей также возникнут трудности при разработке продуктов для столь разрозненного рынка. Помимо этого, некоторые страны предъявляют дополнительные требования к ПСУ, детальные и не всегда обоснованные, создавая тем самым барьеры для учреждения ПСУ. Поэтому Комиссии следует обращать внимание на ненужные и излишние требования к ПСУ, которые могут восприниматься как рыночные барьеры.

В реализации Приложения III ситуация также неоднозначная. Так, требования к SSCD в Австрии и Польше намного выше, чем в некоторых других странах Европы.

В том, что касается Приложения IV, Статья 3.6 выражается достаточно ясно. Данный список содержит лишь рекомендации, которые следует принять во внимание государствам-членам и Европейской комиссии в процессе совместной работы по содействию развитию и применению устройств для проверки подписей. И, хотя издание дополнительных указаний в области безопасности и функциональности таких устройств было бы выгодно пользователям, рекомендации Приложения IV ни в коем случае не следует превращать в обязательные требования на национальном уровне, как сделали некоторые страны-члены.


Рекомендации:

• Приложения были более или менее дословно транспонированы в национальные законы практически во всех странах, охваченных этим исследованием: остается обеспечить близкую реализацию Приложений в странах Европы. Действия в этом направлении должны всемерно поддерживаться. Национальные реализации Приложений, с другой стороны, должны быть осуждены.
  
• Комиссия может принять меры против стран-членов, неправильно транспонировавших Приложения, например, превративших рекомендации Приложения IV в требования на национальном уровне.
  

5.4.3 Отсутствие дискриминации (Статья 5.2)

Один из фундаментальных принципов Директивы 1999/93/EC определен в Декларации факта (21): «официальное признание электронных подписей должно основываться на объективных критериях и не должно быть связано с утверждением соответствующего провайдера сертификационных услуг». Соответственно, в Статье 5.2 Директивы заявлено, что электронной подписи не должно быть отказано в юридической силе и допустимости использования в качестве доказательства в суде на тех лишь основаниях, что она, например, не основана на квалифицированном сертификате или не создана защищенным устройством для создания подписей. Во внимание должны приниматься все электронные подписи, а их юридическая сила может определяться только в результате объективного исследования.

К сожалению, принципу, изложенному в Статье 5.2, не было уделено много внимания. Также стало понятно, что среди стран-членов существует неясность по поводу интерпретации Статьи 5.2. Что на самом деле подразумевается в этой фразе: «не должно быть отказано в юридической силе и допустимости использования в качестве доказательства в суде на тех лишь основаниях, что она не основана на квалифицированном сертификате или не создана защищенным устройством для создания подписей»? Запрещено ли странам-членам принимать законы, в которых квалифицированная электронная подпись требуется для определенных типов документов? Принимая такие нормы, отказывают ли они электронным подписям в юридической силе на том основании, что они являются неквалифицированными в духе Статьи 5.1?

Статья 5.1 Директивы указывает, что страны-члены должны обеспечить, что «квалифицированные электронные подписи» выполняют установленные законом требования к подписи по отношению к данным в электронной форме так же, как собственноручная подпись выполняет эти требования по отношению к данным на бумажном носителе. Поэтому страны-члены могут, например, принимать законы, предусматривающие, что квалифицированная электронная подпись на электронном документе будет иметь ту же юридическую силу, что и собственноручная электронная подпись на бумажном документе. Иными словами, отказ в юридической силе другим электронным подписям в данной норме основывается не только на том, что они не являются «квалифицированными», но и на том, что для электронного документа требуется электронная подпись, эквивалентная собственноручной подписи на бумажном документе.

Это то, что мы называем «принятием “бумажной” среды в качестве точки отсчета». Что Статья 5.2 действительно запрещает, так это атрибутирование «квалифицированной» или «аккредитованной» дополнительной юридической силы помимо эквивалентности подписи. Иными словами, страны-члены не должны принимать законы, требующие использование «квалифицированных электронных подписей» в ином контексте, чем тот, где требуется наличие электронного аналога собственноручной подписи. Например, использование понятия «квалифицированная электронная подпись» для контекста, в котором обработка бумажных документов более не производится, будет нарушением Статьи 5.2.

Целью Статьи 5.2, конечно же, никогда не был ввод в действие (в настоящем или в будущем) более или менее уникальной стандартизированной европейской электронной подписи, пригодной для использования в различных законных операциях. Это будет очень опасная стратегия, из тех, что законодатели всегда стремятся избежать. Чтобы сохранять стабильность и избегать постоянных изменений и дополнений, в законах формулируют лишь правила, и очень редко описывают, как эти правила должны выполняться. На вопрос «как» дают ответ стандарты, которые по определению имеют добровольный характер. Пока люди выполняют правило, они сами решают, как это делать. Иногда законодательство прямо ссылается на стандарты, но только в тех пределах, насколько это необходимо, и ссылка на конкретный стандарт обычно трактуется как обязательное требование.

Эти базовые принципы следует иметь в виду при трактовке Статьи 5.1 Директивы. С их учетом ссылку на (стандартизированную) «квалифицированную электронную подпись» не следует толковать расширительно. Соответствие требованиям квалифицированной электронной подписи ведет лишь к презумпции соответствия собственноручной подписи. Статья 5.2 прямо запрещает нарушать это ограничение и использовать концепцию квалифицированной электронной подписи в других целях.

Следует также пояснить, что Статья 5.2 не относится только к юридической допустимости использования электронных подписей в качестве доказательств в судопроизводстве. Эта норма является руководством не только для судей стран-членов, но и для их законодателей. В Статье 5.2 также упоминается отказ в юридической силе.

Из-за этого Статью 5.2 можно назвать «нормой длительного действия». Европейские законодатели не стремились использовать понятие «квалифицированной электронной подписи» вне контекста Статьи 5.1. Как только отпадет необходимость искать «автоматический» электронный аналог собственноручной подписи, от этого понятия нужно будет отказаться. С того момента любая разновидность электронной подписи должна будет оцениваться только с точки зрения её объективной адекватности в конкретном контексте.

Как же теперь рассматривать многочисленные нормы, принятые странами-членами и прямо требующие использования электронных подписей на основе квалифицированных сертификатов, выданных аккредитованным провайдером сертификационных услуг? Разве эти нормы не противоречат Статье 5.2? Ответ состоит в том, что большинство из этих национальных норм основывается на исключении для государственного сектора, предусмотренном Статьей 3.7 Директивы; впрочем, следует иметь в виду пределы и ограничения использования этого исключения, которые были разъяснены в данном отчете выше.


Рекомендации

• В том, что касается применения Статьи 5.2, существует насущная потребность в дополнительных разъяснениях. Все заинтересованные стороны должны быть лучше осведомлены о цели и области применения данной нормы.
  
• Комиссия должна систематически проверять, принимали ли страны-члены законодательство, относящееся к квалифицированным или аккредитованным электронным подписям, и определять, отвечают ли эти ссылки правилам Статьи 5.2.