Исследование было проведено командой под руководством Джоса Думортье, профессора Факультета права и директора Междисциплинарного центра права и информационных технологий (icri) в K.
| Вид материала | Исследование |
Содержание5.5 Создание благоприятного климата 5.5.1 Влияние на рынок 5.5.3 Взгляд с позиции пользователя |
- Программа для поступающих в магистратуру юридического факультета по специальности 6N0302, 233.7kb.
- Андрея Леонидовича Козика Приветственное слово декана юридического факультета уо фпб, 136.39kb.
- «Применение информационных технологий в исследовании проблем международного права», 229.79kb.
- Программа итогового (государственного) междисциплинарного экзамена Направление 521400, 379.29kb.
- «Применение информационных технологий в исследовании проблем международного частного, 275.51kb.
- Инженерно- физический факультет высоких технологий Инженерно-физический факультет высоких, 561.11kb.
- Тематика курсовых работ по теории государства и права для студентов заочного отделения, 31.51kb.
- Программа итогового междисциплинарного государственного экзамена по специальности 030501, 700.36kb.
- М. В. Ломоносова Кафедра истории, социологии и права Тесты, 245.78kb.
- Программа итогового междисциплинарного экзамена по специальности 080105 «финансы, 564.94kb.
5.5 Создание благоприятного климата
Помимо целей на внутреннем рынке и содействию официальному признанию электронных подписей во всей Европе, в цели Директивы также входит создание в ЕС благоприятного климата для применения электронных средств связи и электронной коммерции. Эта цель зачастую неправильно понималась. Европейскую Директиву часто критиковали за неспособность обеспечить широкое применение (основанных на PKI) электронных подписей в Европе.
5.5.1 Влияние на рынок
Стало совершенно очевидным, что ввод в действие в Сообществе единой правовой основы для электронных подписей никогда не мог привести к массовому запуску PKI. Это никогда не являлось целью европейского законодательства. Конечно, Директива должна способствовать применению электронных подписей и содействовать безопасности электронной коммерции — но только путем устранения некоторых возможных юридических препятствий.
В контексте самой Директивы, её главной целью было защитить внутренний рынок с целью географического расширения рынка европейских производителей и провайдеров услуг. Во вторую очередь она способствует юридическому признанию электронных подписей, устраняя тем самым юридические барьеры для совершения в Европе международных электронных операций. Ясно, что цели Директивы не были реализованы полностью. Директива вызвала к жизни целую серию национальных правовых систем, за которыми не последовало создание единой для всей Европы среды применения электронных подписей. В предыдущих параграфах мы рассказали, что можно сделать для исправления этой ситуации.
В цели создателей Директивы никогда не входило содействовать запуску PKI для электронных подписей в Европе. Потребность в этом не зависит от наличия всесторонней правовой базы. Однако, возможно, стоит изучить, что можно сделать для стимулирования использования электронных подписей и защищенных электронных средств связи в целом. На наш взгляд, необходимо предпринять конкретные действия в сфере стандартизации. Более того, возможно принятие ряда инициатив с целью повысить общий уровень доверия к электронным подписям, например, в большей степени учитывая интересы пользователя.
5.5.2 Стандартизация
Что касается стандартов безопасности в отношении квалифицированных электронных подписей из Директивы, то в настоящее время существует только один комплект стандартов. Они были разработаны EESSI и основаны на технологии PKI, так как требования Статьи 5.1 предполагают использование сертификатов. Это может помешать применению других технологий для квалифицированных электронных подписей, и повредить использованию PKI для других электронных подписей.
Комиссия и страны-члены должны способствовать продолжению работы над стандартами, относящимися к Приложению II (f) и Приложению III, чтобы содействовать применению альтернативных технологий для квалифицированных электронных подписей. Хотя действующие стандарты по большей части являются технологически нейтральными (в рамках PKI), они, например, все равно отдают предпочтение смарт-картам в качестве SSCD.
В то же время жизненно важно обеспечить, чтобы актуальность стандартов, включенных в Официальный бюллетень, поддерживалась в течение длительного времени. Это можно достигнуть либо посредством передачи CWA более долговременным организациям, например, ETSI, либо путем повышения статуса CWA до уровня Европейских Норм.
Разработку общих описаний алгоритмов и параметров, используемых для электронных подписей, необходимо было сделать намного раньше на европейском уровне, например, через EESSI. Отсутствие в настоящее время общепризнанных спецификаций приведет к проблемам с совместимостью и отсутствию признания за рубежом. Ситуация такова, что ряд национальных спецификаций чаще всего публикуются только на национальных языках. Это потенциально может стать рыночным барьером.
Отсутствие совместимости на национальном и международном уровне — это большая помеха принятию на рынке и распространению электронных подписей. Оно привело к появлению множества изолированных «островов» в сферах применения электронной подписи, где для конкретной области применения могут использоваться сертификаты только одного центра сертификации. Только в небольшом числе случаев сертификаты нескольких центров могут использоваться для нескольких приложений. По этой причине ещё раньше следовало гораздо больше сделать для обеспечения совместимости на европейском уровне.
- Хотя EESSI работала над стандартами совместимости, эти стандарты неохотно принимались рядом стран-членов и тем самым не привлекли к себе необходимого внимания на ранней стадии.
- Хотя Комиссия спонсировала ряд проектов по исследованию и разработке, связанных с обеспечением совместимости (pki Challenge, ESTIO, TIE), результаты этих проектов никак не проявились ни на рынке ни, конечно же, в сферах применения электронных подписей.
Разработка, содействие и применение стандартов совместимости теперь должны осуществляться на европейском уровне. На национальном уровне они приведут к принятию множества различающихся стандартов, которые, в свою очередь, воспрепятствуют международному применению электронных подписей, одновременно предъявляя разные требования к производителям на каждом из национальных рынков и уменьшая вероятность адаптации производителями своих продуктов к требованиям стандартов. Мы можем только надеяться на совместимость стандартных продуктов, если общеевропейские требования будут доведены до производителей.
Рекомендации
- Комиссия и страны-члены должны обеспечить правильную реализацию странами-членами презумпции соответствия стандартам, включенным в Официальный бюллетень. В настоящее время это сделано не во всех европейских странах.
- Комиссия и страны-члены должны способствовать продолжению работы над стандартами, относящимися к Приложению II (f) и Приложению III, чтобы содействовать применению альтернативных технологий для квалифицированных электронных подписей. Хотя действующие стандарты по большей части являются технологически нейтральными (в рамках PKI), они, например, все равно отдают предпочтение смарт-картам в качестве SSCD.
- Важно обеспечить, чтобы актуальность стандартов, включенных в Официальный бюллетень, поддерживалась в течение длительного времени. Это можно достигнуть либо посредством передачи CWA более долговременным организациям, например, ETSI, либо путем повышения статуса CWA до уровня Европейских Норм.
- Комиссия должна срочно обеспечить принятие единой спецификации алгоритмов и параметров, а также единой процедуры поддержания её актуальности. Комиссии также следует обеспечить, чтобы соответствующие процедуры были достаточно открытыми.
- Сложности в сфере архивации и подтверждения подлинности электронных документов в течение долгого времени часто воспринимаются как препятствия для применения электронных подписей. Комиссии следует содействовать работе над руководящими указаниями и стандартами в данной области.
- Комиссия и страны-члены должны найти механизмы продвижения/рекомендации стандартов совместимости, уже разработанных ETSI в рамках системы EESSI.
- Комиссия должна оказать поддержку работе над методами электронной аутентификации, проводимой в EUCLID и CEN Workshop, направив ее в сторону разработки соответствующих европейских стандартов и учитывая результаты работы EESSI, pki Challenge и других проектов.
- Комиссия могла бы созвать или содействовать созданию европейского форума по электронным подписям, нацеленного на ПСУ, производителей продуктов и провайдеров приложений, с целью стимулировать разработку и применение стандартов совместимости, возможно также посредством создания тестовых лабораторий.
5.5.3 Взгляд с позиции пользователя
Наши последние соображения относительно правовой основы касаются пользователя. На наш взгляд, совершенно необходимо уделить больше внимания проблемам пользователя во всех дискуссиях, связанных с европейской системой правового регулирования электронных подписей. Недостаточное внимание к пользователям было более или менее постоянной темой как официальных дискуссий, так и деятельности по стандартизации, связанной с Директивой. Коммерческие и/или технические вопросы неизбежно имели пальму первенства во всех дискуссиях в этой области, что привело к созданию правовых и технических решений, очень далеких от потребностей среднего пользователя.
Что же касается стандартизации, то, возможно, было бы полезно систематически анализировать действующие документы в области стандартизации с точки зрения пользователя. В отношении квалифицированных электронных подписей целью деятельности по стандартизации должна быть разработка спецификаций решения, дающего пользователю возможность использовать электронные подписи в масштабе всей Европы. Это решение должно учитывать все аспекты электронных подписей, не только охватывая всю цепочку подписей, но и учитывая интересы обычных пользователей, касающиеся простоты применения, языковых барьеров, стоимости и т.д.
В отношении правовой системы, возможно, потребуется более практический подход. Директива в первую очередь ориентируется на единственную бизнес-модель, которая находилась в центре внимания с 1998 по 2000 год, но затем постепенно вытеснялась в силу более сложной и неоднозначной рыночной ситуации. По этой причине регулирующие документы включают, например, очень подробные правила для издателей сертификатов, но ничего не говорят о других категориях провайдеров сертификационных услуг. Такие услуги, как фиксация времени, отзыв сертификатов, репозитории и архивное хранение, могут предлагаться третьими сторонами, связанными договорными отношениями с органом, выдающим сертификаты. При этом потребность в регулировании применительно к другим категориям провайдеров трастовых услуг как минимум не уступает этой потребности в отношении провайдеров сертификационных услуг. Так, существует явная потребность в регулирующих документах для провайдеров архивных услуг или услуг зарегистрированной почты. С точки зрения пользователя сложно понять, почему предоставление таких услуг никак не регулируется, в то время как в отношении издателей сертификатов созданы сложные системы правового регулирования. В связи с этим мы рекомендуем провести дальнейшие исследования в отношении других категорий провайдеров трастовых услуг.
И последнее, хотя и не менее важное: необходимо совместить электронную аутентификацию с защитой персональных данных. Действующая в Европе система правового регулирования главным образом ориентируется на использование сертификатов личности (identity certificates). В последнее время в центр внимания попало улучшение защиты частной жизни в сетевой среде. Были проведены исследования различных возможностей совмещения электронной аутентификации с необходимостью сохранения анонимности или использования нескольких виртуальных личностей. Инициативы Евросоюза по продвижению современных методик защиты персональных данных своих граждан не должны противоречить правовой базе в области электронных средств аутентификации. Необходимы дальнейшие изыскания путей совмещения анонимности и применения псевдонимов с положениями Директивы об электронных подписях.
Команда исследователей осознает, что сделанные её выводы и рекомендации можно считать лишь первым шагом в анализе европейской правовой системы для электронных подписей. Мы выражаем надежду, что это исследование предоставит интересные материалы для начала общеевропейской дискуссии по этому предмету.
Сентябрь 2003 г.