Транспонирование Директивы
|
1) Закон № 2000-230 «Применение закона о свидетельских показаниях к информационным технологиям и ЭЦП», вступивший в силу 14 марта 2000 года (вносит поправку в Гражданский кодекс).
2) Постановление № 2001-272 «Введение в действие новых поправок в Гражданский кодекс, относящихся к ЭЦП», вступило в силу 1 апреля 2000 года.
3) Постановление № 2002-535 «Оценка и сертификация безопасности, обеспеченной продуктами и системами на основе ЭЦП», вступило в силу 20 апреля 2002 года.
4) Распоряжение министра «Об оценке соответствия ПСУ и аккредитации органов, проводящих оценку», вступило в силу 1 июня 2002 года.
|
Определения
(ст. 2)
|
Дано следующее определение ЭЦП: данные, полученные в результате надёжного процесса идентификации, гарантирующего связь цифровых данных, прикреплённых к подписи, и самой подписи. Подписывающее лицо: аналогично Директиве, но включает только физических лиц. Провайдеры сертификационных услуг: названы «Поставщиками электронных сертификационных услуг». В законе говорится об «оценке ПСУ», а не об «аккредитации». Последний термин используется применительно к назначению органов, которые будут проводить «оценку соответствия» провайдеров сертификационных услуг.
|
Типы подписей
|
Три типа подписей: «базовая», защищённая (соответствует AES в Директиве), подпись более высокого уровня (квалифицированные ЭЦП).
|
Официальное признание эквивалентности ЭЦП собственноручной подписи
(ст. 5.1)
|
Прямое транспонирование. Закон отождествляет ЭЦП с собственноручной подписью при выполнении некоторых условий надёжности (идентификация, связь содержимого с подписью). Прямого упоминания иных правовых эффектов или правовой пригодности нет.
Процесс создания ЭЦП считается надёжным, если подпись была создана, достоверность личности подписавшего проверена, а целостность гарантируется в соответствии с условиями, указанными в Постановлении № 2001-272 (т.е. защищённая ЭЦП, основанная на квалифицированном сертификате и созданная на защищённом устройстве создания подписей).
|
Юридическая сила ЭЦП (ст. 5.2)
|
Прямое транспонирование. Соответствие ЭЦП собственноручной подписи признается, даже если ЭЦП не отвечает требованиям к квалифицированной подписи, за исключением тех случаев, когда это запрещено специальным законодательством. Во французском законодательстве не приведены случаи, в которых ЭЦП не может быть использована. Решения будут приниматься от случая к случаю; возможен [частный] запрет использования ЭЦП согласно закону о защите прав потребителей.
|
Существенные прецеденты
|
К настоящему времени судебные решения, касающиеся использования или юридической силы ЭЦП, не принимались.
|
Ответственность
(ст. 6)
|
Данная норма реализуется в законопроекте «О конфиденциальности в условиях цифровой экономики» (законопроект всё ещё обсуждается). В действующем законодательстве предусмотрены правила применения ответственности с более широкой сферой применения, перечня оснований возникновения ответственности нет. Применимо ко всем ПСУ (независимо от того, выдают они квалифицированные сертификаты или нет).
|
Международные аспекты (ст. 7)
|
Дословное транспонирование ст. 7.
|
Защита данных
(ст. 8)
|
Транспонирования нет; применяется общий закон о защите данных. В сертификатах допускается использовать псевдонимы при условии указания на наличие псевдонима.
|
Реализация Приложений
|
Скопированы все Приложения (I-IV).
|
Предоставление услуг сертификации
|
Во Франции нет предварительного утверждения ПСУ. Провайдеры должны известить о своей деятельности DCSSI и сообщить, собираются ли они выпускать квалифицированные сертификаты. Уведомление должны делать все провайдеры сертификационных услуг.
Все ПСУ, зарегистрированные во Франции, являются поднадзорными организациями; это достигается посредством регулярных аудиторских проверок. Критерии соответствия в настоящее время определяются.
В законе упоминается добровольная аккредитация (во Франции называемая «оценкой соответствия»); схема уже реализована, но «должна быть завершена» (т.е. органа аккредитации пока нет). Правила оценки и критерии аккредитации находятся в стадии доработки. Меры по стимулированию аккредитации во французской системе не предусмотрены.
|
Количество провайдеров сертификационных услуг
|
Нет ПСУ, выдающих квалифицированные сертификаты.
|
Использование ЭЦП в государственном секторе
|
В законодательстве не определены специальные требования к использованию ЭЦП в государственном секторе. Представлены несколько проектов, в том числе декларирование НДС и валовых доходов.
|
Оценка соответствия защищённых устройств создания подписей
|
Предусмотрена обязательная аттестация защищенных устройств создания подписей (SSCD); единственным ответственным органом является DCSSI. К настоящему времени уже аттестован один продукт SSCD.
|
Использование стандартов (ст. 3.5)
|
Стандарты, указанные в официальном бюллетене, не признаются автоматически; признаются сертификаты соответствия от стран-членов ЕС. Упоминаются конкретные стандарты: CWA 14169 применительно к защищенным устройствам создания подписей, CWA 14167-2 применительно к криптомодулям и французский вариант TS 101 456 применительно к ПСУ в системе добровольной аккредитации.
Общие рекомендации по алгоритмам и параметрам изданы DCSSI.
|
Обеспечение совместимости
|
Для проекта по электронному декларированию НДС разработан набор параметров сертификата.
|
Рынок продуктов и услуг ЭЦП
|
Поднадзорных либо аккредитованных ПСУ нет. Предоставляются услуги электронного налогового декларирования как для юридических лиц (НДС), так и для физических лиц (валовой доход); Certplus, доминирующий оператор услуг сертификации, выступает от лица центров сертификации (Министерство финансов и банки).
|
Веб-ссылки
|
ссылка скрыта
ссылка скрыта
ссылка скрыта
ссылка скрыта
ссылка скрыта
ссылка скрыта
ссылка скрыта
ссылка скрыта
|
