Транспонирование Директивы
|
Закон «Об основных условиях применения ЭЦП и внесении поправок в другие законы» (Закон SigG), вступивший в силу, за исключением ряда статей, 22 мая 2001 года.
Постановление об электронных подписях, вступило в силу …
|
Определения
(ст. 2)
|
Определение ЭЦП: аналогично Директиве. Подписывающий может быть только физическим лицом, владеющим кодами подписи. Юридическое лицо не может быть подписывающим лицом. Узкое определение ПСУ: физическое или юридическое лицо, выдающее квалифицированные сертификаты или квалифицированные метки времени.
Кроме того, определены следующие термины: квалифицированная ЭЦП, компоненты приложения ЭЦП, технические компоненты для служб сертификации, квалифицированные метки времени.
Термины, совпадающие по значению указанным в Директиве: коды подписи (эквивалентны данным, относящимся к созданию подписи) и коды проверки подписи (эквивалентны данным, предназначенным для верификации подписи).
|
Типы подписей
|
Три типа подписей: «Базовая», AES (требования аналогичны Директиве) и квалифицированная (AES на основе квалифицированного сертификата, созданная с помощью SSCD).
|
Официальное признание эквивалентности ЭЦП собственноручной подписи
(ст. 5.1)
|
Прямое транспонирование. В Гражданский кодекс приняты поправки, подтверждающие, что «электронная форма» может служить заменителем письменной формы. Гражданский процессуальный кодекс установил презумпцию достаточности доказательства применительно к квалифицированным ЭЦП, соответствующим требованиям определения и обеспечивающим эффективную защиту данных. Все прочие процессуальные кодексы ссылаются на эту норму. Эквивалентность также заявлена в административно-процессуальном, налоговом и социальном кодексе.
|
Юридическая сила ЭЦП (ст. 5.2)
|
Прямого транспонирования нет. Документы, подписанные с помощью ЭЦП, принимаются в качестве доказательств и имеют юридическую силу в судопроизводстве без ограничений. Доказательная сила определяется по уровню защищённости документа, который можно доказать. Возможно существование некоторых случаев, когда ЭЦП не может использоваться в конкретном правовом контексте.
|
Существенные прецеденты
|
В ряде судебных прецедентов неподписанным сообщениям электронной почты отказано в доказательной силе. С другой стороны, решением суда было принято в качестве доказательства факсимильное сообщение, полученное на компьютере без ЭЦП.
|
Ответственность
(ст. 6)
|
Транспонированный вариант затрагивает более широкий спектр условий по сравнению со ст. 6. Пункт касается ответственности ПСУ, выдающих квалифицированные сертификаты. Пределы применения шире, чем предусмотрено ст. 6. Предусмотрена ответственность: 1) за нарушение требований немецкого законодательства об ЭЦП; 2) за ошибки и отказы продуктов, реализующих ЭЦП, и иных средств технической безопасности, используемых провайдерами сертификационных услуг.
Бремя доказательства противного. Ограничения применимости соответствуют Директиве (по области применения сертификата и цене транзакций).
|
Международные аспекты (ст. 7)
|
Квалифицированной признается только ЭЦП с сертификатом, выданным в пределах Европейского союза или Европейской экономической зоны, и соответствующим требованиям ст. 5.1 Директивы. Подписи с сертификатами, выданными в стране, не входящей в ЕС/ЕЭЗ имеют ту же юридическую силу, что и квалифицированные, если выполняется ряд условий. Эти условия соответствуют приведённым в ст. 7.
|
Защита данных
(ст. 8)
|
Особые условия, касающиеся обязательств по защите данных для всех ПСУ. Повторение основных принципов защиты данных; сфера использования данных ограничивается целями выдачи сертификатов. Разрешается использование псевдонимов в сертификатах. При определенных условиях государственные и судебные органы вправе получать сведения о реальных именах.
|
Реализация Приложений
|
Приложение I скопировано, за исключением того, что подпись в сертификате должна не просто представлять собой AES, но и быть квалифицированной.
Приложение II транспонировано в качестве очень детальных требований к ПСУ в законах SigG и SigV.
Приложение IV транспонировано в качестве рекомендаций.
ПСУ обязан извещать подписывающих лиц о продуктах, которые соответствуют требованиям к созданию и проверке достоверности квалифицированной ЭЦП. Продукты, рекомендованные аккредитованным ПСУ, подлежат сертификации, тогда как контролируемый провайдер может вместо сертификации издать Декларацию производителя.
Подписывающее лицо «должно» пользоваться данными продуктами, либо «принимать иные допустимые меры по защите квалифицированной электронной подписи».
|
Предоставление услуг сертификации
|
В законодательстве прямо запрещено предварительное утверждение ПСУ. Уведомление является обязательным для провайдеров, выдающих квалифицированные сертификаты. Органом, ответственным за уведомление, является RegTP (Контролирующий орган в сфере почтового сообщения и связи). Стоимость уведомления определяется по времени работы в часах.
ПСУ, зарегистрированные в Германии и издающие квалифицированные сертификаты, являются поднадзорными организациями; поднадзорность обеспечивается путём проведения инспекции при регистрации провайдера. С точки зрения закона о защите данных поднадзорными организациями являются все ПСУ. Критерии соответствия определены.
В законе предусмотрена добровольная аккредитация; данная схема уже реализована. Подробные правила оценки и критерии аккредитации опубликованы как в законах, так и в подзаконных актах. Немецкая мера неявно поощряет аккредитацию для ряда областей применения в госсекторе (исключительно для государственных органов, а не для граждан).
|
Количество провайдеров сертификационных услуг
|
23 ПСУ выдают квалифицированные сертификаты; все они аккредитованы.
|
Использование ЭЦП в государственном секторе
|
В законодательстве определены специальные требования к использованию ЭЦП в государственном секторе. Уже работают несколько проектов в области «электронного правительства» (электронные удостоверения личности, НДС и социальная защита).
|
Оценка соответствия защищённых устройств создания подписей
|
Предусмотрена обязательная аттестация защищенных устройств создания подписей (SSCD); назначено несколько ответственных организаций. Аттестация продуктов SSCD уже проведена.
|
Использование стандартов (ст. 3.5)
|
Функциональные требования к компонентам ЭЦП устанавливаются без обращения к конкретным стандартам. Стандарты, указанные в официальном бюллетене, принимаются во внимание при реализации требований Закона, за исключением продуктов, используемых в системе добровольной аккредитации. Никакие другие стандарты не являются обязательными или рекомендуемыми. Алгоритмы и параметры опубликованы RegTP по предложению Британского института стандартизации и ежегодно пересматриваются с представителями отрасли.
|
Обеспечение совместимости
|
Через несколько лет были созданы несколько организаций, занимающихся обеспечением совместимости (TeleTrust, ISIS-MTT, Alliance for Electronic Signatures). ISIS-MTT издала подробные списки параметров совместимости на основе международных стандартов. RegTP создан корневой центр сертификации для аккредитованных ПСУ.
|
Рынок продуктов и услуг ЭЦП
|
Аккредитованными ПСУ было выдано около 25 000 квалифицированных сертификатов; все они основаны на SSCD. Используется большое количество приложений, основанных на ЭЦП, в первую очередь это приложения типа «электронное правительство» в городах и федеративных землях, предназначенные для государственных служащих и специалистов. Сообщалось о проблемах с незащищенной программой просмотра. Около 300 000 сертификатов было выдано главным образом для внутренних инфраструктур открытых ключей.
|
Веб-ссылки
|
ссылка скрыта
ссылка скрыта
ссылка скрыта
ссылка скрыта
ссылка скрыта
ссылка скрыта
ссылка скрыта
ссылка скрыта
ссылка скрыта
|
