Компьютерное сообщество обсуждает закон “Об электронной цифровой подписи”
БЕЗОПАСНОСТЬ
Ирина Язвина, вице-президент корпорации “Парус”: Принятия Закона “Об электронной цифровой подписи” ждали давно. Электронные торговые площадки и прочие инструменты для организации электронной торговли действительно нуждались в ЭЦП. Но, как и многие продукты законотворческой деятельности, этот закон оставляет желать лучшего, поскольку носит сугубо рамочный характер.
В дополнение к нему должно быть выпущено огромное число ведомственных актов, разъясняющих его положения. Например, непонятно, что такое центр компетенции и кто будет его представлять (таких центров должно быть несколько, а не один, под которым подразумевается ФАПСИ). Не совсем ясно и то, как будет осуществляться взаимодействие с этими центрами компетенции, какие понадобятся лицензии, кто получит право их выдавать - в законе много непрописанных вопросов.
Огромная проблема связана с тем, что в законе все замыкается на подписи физического лица, т. е. получается так, что если директор предприятия что-то подписал, то это имеет силу, пока он остается директором. Как только он ушел со своего поста - все посыпалось, его подпись уже ничего не значит. Этого быть не должно. Если отношения ведутся между юридическими лицами, то и подпись должна закреплять обязательства юридических лиц независимо от того, кто лично их возглавляет.
Конечно, принятие закона об ЭЦП - это некоторый шажок вперед. Но, на мой взгляд, до настоящей цивилизованной работы с ЭЦП еще далеко. Законодателям нужно сделать очень многое для того, чтобы электронная коммерция использовалась не в отдельных успешных проектах, а стала повсеместным инструментом для бизнеса в России.
Дмитрий Романов, директор департамента систем документационного обеспечения управления компании “АйТи”: Закон “Об электронной цифровой подписи” подписан - это можно считать главным результатом. Наконец-то в нашей стране легализован электронный документооборот!
В последнее время кто только не сетовал на отсутствие законодательной базы в этом вопросе. Причем неизвестно, чьи голоса звучали громче - самих разработчиков ИТ-решений или многочисленных сотрудников различных ведомств и холдинговых предприятий, для которых признание ЭЦП означало кардинальное изменение не только огромного пласта внутренних бизнес-процессов, но и механизмов взаимодействия с внешними структурами.
Тот факт, что закон наконец появился, позволяет электронному документообороту выйти за рамки одной организации, где достаточно внутреннего приказа для организации собственного электронного документооборота. Уже сейчас это означает бо/льшую скорость и эффективность взаимодействия между юридическими лицами, которые раньше использовали бумажные схемы.
Закон можно ругать, например, за отношение к западным средствам криптозащиты или за то, что в качестве ЭЦП принят только один алгоритм - с несимметричными ключами. Но все это по большому счету лишь придирки по сравнению с его глобальными преимуществами.
Марьяна Марчук, юрист, компания Baker & McKenzie: Закон хорош тем, что, по крайней мере, четко определяет сферы, где применение ЭЦП возможно. Это сделки, прямо указанные в законодательстве России. В настоящий момент к их числу относятся гражданско-правовые сделки, за исключением тех, что требуют регистрации (сделки с недвижимостью, например). Таким образом, вопреки заявлениям о том, что “можно налоговые декларации подписывать”, пока ни на каких документах для подачи в госорганы ставить эту подпись нельзя. Нужен отдельный закон (или дополнение к действующему закону), который разрешил бы применение ЭЦП в данной сфере.
Закон также дает определение ЭЦП и в общих чертах описывает процедуру создания (получения) и использования закрытых и открытых ключей, основные вопросы деятельности удостоверяющих центров, а также главное требование к средствам создания ЭЦП (это сертификация в России), если такая подпись будет предусмотрена в системах, доступных третьим лицам (фактически в любых системах, доступных Интернет-пользователям). Хорошо и то, что закон не позволяет владельцу ЭЦП отказываться от сделки, мотивируя это тем, что не он ее ставил на спорном документе. Это придает стабильность отношениям сторон в сделках с применением ЭЦП.
Но толчком к развитию электронной коммерции и использованию электронных документов закон не станет. В настоящем виде он ничего не прибавляет к сложившейся практике. Системы банк - клиент и Интернет-магазины существуют давно и работали нормально и без закона об ЭЦП, в рамках Гражданского кодекса. Им закон никаких дополнительных гарантий не предоставляет и ощутимой пользы не принесет. Закон опирается на концепцию криптографии для защиты информации и не поддерживает развитие других методов идентификации (по голосу, радужке глаза, отпечаткам пальцев и т. д.). Помимо этого закон носит протекционистский характер. Так, без сертификации в России невозможно использовать средства создания ЭЦП (программные и аппаратные) в открытых системах. А процесс сертификации ПО у нас в стране предполагает раскрытие исходного кода. Понятно, что зарубежные производители софта не захотят, чтобы их программы сертифицировались в России. А значит, на нашем рынке их софт особого распространения не получит, так как потребность в закрытых системах невелика.
Недостаток закона и в том, что в нем нет четкого определения госоргана, ответственного за создание и работу удостоверяющих центров. Такой орган должно определить правительство. Когда оно этот выбор сделает, по каким критериям и как часто будет менять “надзирающий” орган - непонятно. Следовательно, неразберихи не избежать, если, например, после Минсвязи правительство выберет ФАПСИ или наоборот. Закон также не очень четко устанавливает взаимную ответственность участников отношений с ЭЦП в случае разглашения конфиденциальных сведений да и вообще содержит не так уж много конкретных норм, не требующих развития в ведомственных актах (что дает простор для творчества каждому ведомству и порождает разнобой в толковании и применении закона).
В целом закон в лучшем случае нейтрален для развития э-бизнеса. Более существенную пользу принесло бы принятие законов об э-торговле (особенно в варианте, предлагаемом Международной торговой палатой) и об э-документах, рассмотрение проектов которых застряло на этапе подготовки соответственно ко второму и к первому чтению. В частности, закон об э-торговле содержит ряд важных положений о статусе э-документов и их доказательственной силе в суде.
В. Н. Орлов, начальник отдела сертификации и безопасности компании “Микротест”: Принятие закона - это шаг вперед. Но есть две проблемы. Первая - организационно-техническая. Требуется создать удостоверяющие центры, и в первую очередь уполномоченный федеральный центр. Без этих организаций, оснащенных мощной телекоммуникационной инфраструктурой, закон не даст ожидаемой отдачи. Сюда же следует отнести необходимость разработки программно-аппаратных средств ЭЦП. Эти средства должны быть прозрачны для потребителя.
Вторая проблема лежит в области психологии. Необходимо, чтобы удостоверяющие центры вызывали у потребителя такое же доверие, какое мы испытываем к сообществу нотариусов. Любой, кто идет к нотариусу, не сомневается в его правомочности или корректности действий. В той же сфере лежит и проблема использования ЭЦП, связанная с хранением закрытого ключа. Свою подпись человек хранит буквально на генетическом уровне. В результате ее видят многие, а подделать не может никто. На каком носителе выдавать закрытый ключ? Где его хранить? Здесь может быть полезен опыт внедрения банковских пластиковых карт.
Александр Буйдов, руководитель департамента информационных систем компании КРОК: Мы предполагаем бурное развитие процесса интеграции ЭЦП в имеющиеся решения по электронному документообороту, в электронные платежные системы, в автоматизированные банковские системы, а также в системы автоматизации органов государственного управления.
Безусловно, активное использование ЭЦП не только даст положительный эффект с точки зрения ускорения прохождения документов и банковских платежей, но и послужит катализатором для развития этих систем в целом, появления новых функций и режимов, интеграции систем между собой.
Сдерживающими факторами, по нашему мнению, будут значительные ограничения на формирование центров генерации и формирования ключей и организационные сложности перехода государственных служащих на использование ЭЦП.
Владимир Руденко, директор по маркетингу группы компаний TopS Business Integrator: Мы могли бы прожить и без такого закона. Для отраслевых торговых площадок или онлайнового банкинга достаточно ЭЦП, поддерживаемой участниками системы. При взаимном интересе это несложно, тем более что технология ЭЦП на основе открытого ключа известна с 1978 г. и хорошо опробована в мире. Банк России работает с ЭЦП, созданной по собственному стандарту, с 1993 г.
Одним из основных мотивов разработки закона, по-видимому, можно считать увеличение доли Интернета в документообороте госструктур. Иными словами, растет поток юридически значимых электронных сообщений между субъектами, не связанными договорными отношениями.
О том, что этот закон в большей степени явление политическое, говорит тот факт, что при его принятии не были решены некоторые существенные вопросы, повышающие эффективность его применения. Например, целесообразно было бы принимать закон об ЭЦП в пакете с другими законами - “Об электронной торговле” и “Об электронном документе”, тем более что принятый закон базируется на понятии “электронный документ”, одним из реквизитов которого является ЭЦП. Нужен и Закон “Об электронных подписях”, концепция проекта которого была недавно разработана Консультативным советом по вопросам электронной торговли. Концепция рассматривает использование множества вариантов: карточные и PIN-кодовые подписи, идентификация по сетчатке глаза и отпечаткам пальцев. К сожалению, внесение законопроекта в Госдуму запланировано только на июнь 2003 г.
В соответствии с законом электронная цифровая подпись не может использоваться юридическими лицами. В то же время основной тип сделок, требующих применения ЭЦП, осуществляется между юридическими лицами по схеме B2B.
И наконец, закон содержит немало так называемых отсылочных норм, требующих развитого правого поля, создание которого, как становится ясно, растягивается на неопределенное время.
Редакция ждет комментариев по поводу Закона “Об электронной цифровой подписи” от заинтересованных участников рынка. Наш адрес: editorial@pcweek.ru. В заголовке письма сделайте пометку “Закон”.
Закон, не выдерживающий критики юристов
Эдуард Пройдаков
С 1 по 3 февраля в Подмосковье прошла четвертая конференция “РусКрипто” (см. PC Week/RE № 20/2001, с. 24), посвященная проблемам криптографии. Одной из главных обсуждавшихся тем был недавно принятый Закон “Об электронной цифровой подписи” (ЭЦП). На конференции присутствовало много юристов, в том числе и тех, кто участвовал в разработке первых редакций этого закона. Принятая третья редакция и сама процедура принятия данного закона подверглись с их стороны уничтожающей критике.
Основные претензии юристов:
1. Для закона об ЭЦП не сделали отсрочки по времени вступления в силу - он действует с момента принятия. Пока под него не создана соответствующая инфраструктура (а ее создание - процесс дорогостоящий и требующий продолжительного времени), возникают проблемы с действующими системами ЭЦП, так как сделки по ним могут быть оспорены в суде.
2. Закон определяет ЭЦП как аналог собственноручной подписи физического лица. Из-за этого возникает множество ситуаций юридических рисков, например, в случае увольнения сотрудника, подписавшего тот или иной договор. Что будет, если через 10 лет после подписания документа возникнет спор между хозяйствующими субъектами?
3. Если до принятия закона было три лицензируемых вида деятельности, то сейчас их стало 15.
4. При внедрении закона об ЭЦП в корпоративные системы нужно посчитать, какие финансовые затраты будут нести компании в случае изменения ГОСТов. Вдруг организация-монополист изменит ГОСТ, изменит требование к сертификату и компаниям придется вынужденно переоснащаться?
5. Требования закона об ЭЦП в части сертификации гораздо жестче, чем в аналогичных западных законах, и, таким образом, западные ЭЦП не могут быть признаны в России.
6. В законе не учтен европейский опыт, где соответствующий закон был принят еще в 1999 г.
7. Регулирование электронной торговли и электронной подписи не является определяющим для вступления в ВТО, что утверждалось при проталкивании закона об ЭЦП.
Так как закон получился нежизнеспособным, то сейчас инициируется подготовка документа по внесению в него поправок. Ассоциация “РусКрипто” готова представить для этого документа свои предложения.