Глава I. Общие положения

Статья 1. Цель и сфера применения настоящего Федерального закона

Основное предназначение Закона об ЭЦП - заложить правовые основы для создания инфраструктуры, обеспечивающей использование ЭЦП, а также установить основные требования, при соблюдении которых ЭЦП должна признаваться юридически равнозначной собственноручной подписи на бумажном носителе.

Что касается сферы применения Закона об ЭЦП, то она в силу прямого указания ограничивается только отношениями, возникающими при совершении гражданско-правовых сделок, и другими специально предусмотренными законодательством Российской Федерации случаями.

В данной части Закон об ЭЦП согласуется с положениями ст. 160 Гражданского кодекса Российской Федерации, которая устанавливает, что использование ЭЦП при совершении гражданско-правовых сделок допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.

Возможность применения положений Закона об ЭЦП к иным отношениям ставится в зависимость от наличия соответствующих норм в иных законодательных актах. Например, возможность использования ЭЦП в налоговых отношениях предусмотрена в Федеральном Законе от 28 декабря 2001 г. N 180-ФЗ "О внесении изменения в статью 80 части первой Налогового кодекса Российской Федерации", в соответствии с положениями которого разрешается представлять налоговую отчетность в электронном виде.

При разработке Закона об ЭЦП выдвигались предложения закрепить на законодательном уровне возможность использования ЭЦП в качестве эквивалента собственноручной подписи во всех случаях, когда это прямо не запрещено законом. В зарубежном законодательстве иногда применяется такая "расширенная" модель правового регулирования ЭЦП, при этом ограничения устанавливаются в отношении завещаний, некоторых процессуальных документов и в ряде других случаев. Однако разработчики Закона об ЭЦП сочли подобный подход нежелательным, поскольку он потребовал бы внесения многочисленных изменений и дополнений в действующие законодательные акты. Предпочтение было отдано закреплению четкой правовой структуры, обеспечивающей доверие к новым способам документооборота.

В то же время уже сегодня очевидной становится необходимость признания ЭЦП в качестве аналога собственноручной подписи для значительно более широкого круга юридических действий и документов, нежели это предусмотрено в ГК РФ, который допускает ее использование только при заключении договоров и иных сделок. Уже в настоящее время с помощью ЭЦП удостоверяются разнообразные юридические документы, которые относятся не только к сделкам, например уставные документы акционерных обществ, бюллетени для голосования на общем собрании акционеров и многие другие.

Понятие "электронная коммерция", важнейшим фактором развития которой является возможность использования ЭЦП, имеет очень широкое значение. Согласно толкованию, даваемому ЮНСИТРАЛ, это понятие применимо почти к любым отношениям коммерческого характера, которые включают следующие сделки, но не ограничиваются ими: розничную куплю-продажу, поставку, соглашение о разделе продукции, торговое представительство или агентские отношения, факторинг, лизинг, проектирование, консалтинг, инжиниринг, инвестиционные контракты, страхование, соглашения об эксплуатации и концессии, банковские услуги, совместную деятельность и другие формы промышленного и делового сотрудничества, транспортные услуги (перевозку грузов или пассажиров воздушным, морским, железнодорожным транспортом) и т.д.

Во многих случаях возникает необходимость применения ЭЦП для удостоверения документов, которые не регламентируются гражданским законодательством. Это, например, документы, оформляющие трудовые, налоговые, административные и иные отношения. Очевидно, что уже в ближайшее время следует ожидать включения указаний о применимости ЭЦП во многие российские законодательные акты, в частности, в гражданско-процессуальное, арбитражно-процессуальное и уголовно-процессуальное законодательство.

Следует отметить некоторые особенности понимания термина ЭЦП в российском законодательстве и, в частности, в Законе об ЭЦП.

Для обозначения связанной с электронным документом информации, тем или иным образом указывающей на автора такого документа, в зарубежном законодательстве и некоторых международных правовых актах применяются различные термины - "цифровая подпись", "электронная подпись" и т.д.

При этом в международной практике и праве зарубежных стран применяется несколько основных подходов к определению понятия ЭЦП, различающихся по степени детализации предъявляемых к ЭЦП требований.

Самый "мягкий" из них предполагает, что в качестве ЭЦП должны рассматриваться любые включаемые в электронный документ элементы, тем или иным образом связанные с отправителем этого документа. Никакие специальные требования к уникальности, неизменяемости, "степени подконтрольности" ЭЦП или процедурам ее проверки на законодательном уровне не закрепляются, законными считаются все ЭЦП, признаваемые сторонами сделки. При таком подходе под понятие ЭЦП подпадают даже инициалы, проставленные в конце текста электронного документа, или отсканированный отпечаток пальца. По такому пути пошло законодательство США. Например, файл с текстом принятого в США в 2000 г. Закона "Об электронных подписях в международном и национальном коммерческом обороте" был "подписан" президентом США Биллом Клинтоном с помощью электронной копии его собственной подписи, которую он вывел на компьютерном графическом планшете.

Второй подход является более "жестким". Он предполагает, что ЭЦП должна отвечать ряду законодательно закрепленных дополнительных требований, например, обеспечивать возможность достоверного установления отправителя информации и быть связанной с передаваемыми данными таким образом, что при их изменении становится недействительной. Такой подход получил признание в законодательстве ряда европейских стран.

Третий, самый "строгий" подход определяет ЭЦП как результат криптографического преобразования исходного электронного документа и выдвигает наиболее детализированные требования к ЭЦП, в частности, к применяемой технологии. Именно такой подход использован в российском Законе об ЭЦП.

Выбор между этими моделями осуществляется каждым государством в зависимости от того, предпочитает ли оно доверить поиск наиболее подходящих средств обеспечения безопасности документооборота рыночным механизмам или хочет взять на себя специальные функции по контролю и надзору, чтобы защитить участников рынка от наиболее вероятных угроз.

Интересный подход предложен в Директиве ЕС об ЭЦП, которая фактически вводит два понятия: "сильную", или "квалифицированную", ЭЦП и "слабую", или "обычную". Директива ЕС об ЭЦП начинается общим определением электронной подписи и предусматривает, что любая такая подпись имеет законную силу и может использоваться в качестве доказательства в судебном разбирательстве. Согласно определению, данному в п. 1 ст. 2 Директивы ЕС об ЭЦП под электронной подписью понимаются любые "данные в электронной форме, которые приложены либо логически присоединены к иным электронным данным, используемые как метод аутентификации". В соответствии с такой формулировкой инициалы в конце письма должны признаваться электронной подписью.

Однако далее, в п. 2 ст. 2 Директивы ЕС об ЭЦП, дается определение "расширенной", или "квалифицированной", ЭЦП (advanced electronic signature), под которой понимается электронная подпись, отвечающая следующим требованиям:

1) она относится исключительно к подписывающему лицу;

2) с ее помощью можно идентифицировать подписывающее лицо;

3) она создана с помощью средств, которые подписывающее лицо может иметь под своим исключительным контролем;

4) она соединена с данными, к которым она относится, таким образом, что имеется возможность обнаружить последующее изменение таких данных.

Ни одно из этих условий не связывает создание электронной подписи с какой-либо конкретной технологией, в частности, с обязательностью применения криптографии. Таким образом, признается юридическая достаточность криптографической подписи, однако не исключается признание менее защищенных форм электронной подписи.

В связи с этим нередко утверждается, что в Директиве ЕС об ЭЦП фактически выражено намерение повысить надежность электронной подписи без ограничения ее рамками ЭЦП, заложить основы для применения любых форм цифрового удостоверения, например, с использованием цифровых изображений собственноручной подписи на бумаге, персональных идентификационных номеров или других методов, которые могут подпадать под определение электронной подписи и будут признаваться равнозначными собственноручной подписи. Такой подход дает возможность применять различные типы удостоверяющих технологий, которыми можно будет пользоваться при осуществлении электронных сделок.

Статья 5 Директивы выражает важное правило: нельзя отказать электронной подписи в юридической действительности или допустимости в качестве доказательства только на том основании, что она имеет электронную форму и создана без использования определенной технологии создания ЭЦП. При таком подходе стороны могут сами договориться, к каким технологиям удостоверения подлинности электронных документов они прибегнут при совершении сделок.

Разработчики российского Закона об ЭЦП пошли по принципиально иному пути. В Законе об ЭЦП прямо указывается на то, что ЭЦП может создаваться только с использованием криптографической технологии (см. подробнее комментарий к ст. 3). По уверениям разработчиков это сделано для того, чтобы устранить любую возможность для совершения мошеннических действий в данной области с помощью таких средств, как факсы, ксероксы, сканеры и т.д., поскольку в настоящее время под ЭЦП иногда понимают даже присланное по факсу изображение собственноручной подписи.

Разработчики российского Закона об ЭЦП сочли необходимым специально оговорить, что его действие не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи, в том числе электронных (шифры, коды, пароли и т.д.). Таким образом, в связи с прямым указанием Закона об ЭЦП его положения не должны применяться к таким отношениям даже по аналогии.

В российском законодательстве ЭЦП - это получаемый с помощью криптографической технологии реквизит электронного документа. Никакие иные формы цифрового удостоверения документов в это понятие не включаются.

Таким образом, ЭЦП при дальнейшем рассмотрении будет пониматься только в том значении, которое предусмотрено Законом об ЭЦП, т.е. как результат криптографического преобразования в соответствии с алгоритмом, криптостойкость которого доказана или проверена, сертифицирована и определяется государственным стандартом.

Статья 2. Правовое регулирование отношений в области использования электронной цифровой подписи

Использование ЭЦП регулируется наряду с Законом об ЭЦП рядом иных законодательных и других нормативных правовых актов.

Так, в п. 2 ст. 160 Гражданского кодекса Российской Федерации закреплены термин ЭЦП и возможность использования ЭЦП при совершении сделок "в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон".

До принятия Закона об ЭЦП она могла применяться на основании специального соглашения участников информационного обмена, например, в корпоративных банковских информационных системах. Попытки начать использование ЭЦП предпринимались Пенсионным фондом России. Однако в целом область применения ЭЦП была очень ограничена, поскольку для применения ЭЦП требовалось предварительно заключить в письменной форме специальное соглашение, к которому судебная практика предъявляла и продолжает предъявлять достаточно жесткие требования, зачастую ставящие под сомнение целесообразность использования ЭЦП.

Например, согласно п. 2 письма Высшего Арбитражного Суда Российской Федерации от 19 августа 1994 года N С1-7/ОП-587 "Об отдельных рекомендациях, принятых на совещаниях по судебно-арбитражной практике" если между сторонами возник спор о наличии договора и других документов, подписанных ЭЦП, арбитражным судам рекомендуется запрашивать у сторон выписку из договора, в котором указана "процедура порядка согласования разногласий, на какой стороне лежит бремя доказывания тех или иных фактов и достоверности подписи". С учетом этой процедуры арбитражные суды должны проверить достоверность доказательств и вправе при необходимости назначить экспертизу.

Если в договоре не предусмотрены "процедура согласования разногласий и порядок доказывания подлинности договора и других документов", а одна из сторон оспаривает наличие подписанного договора и других документов, арбитражные суды вправе не принимать в качестве доказательств документы, подписанные ЭЦП.

Кроме того, арбитражным судам, разрешающим подобные споры, было рекомендовано оценивать заключаемые с использованием ЭЦП договоры, всесторонне рассмотреть вопрос о том, добровольно ли "и со знанием дела стороны включили в договор процедуру рассмотрения споров и доказывания тех или иных фактов, не была ли она навязана стороне другой стороной с целью обеспечения только своих интересов и ущемления интересов другой стороны". Решение по спорам, связанным с применением ЭЦП по соглашению сторон, рекомендовано выносить с учетом этой оценки.

Таким образом, до принятия Закона об ЭЦП использование ЭЦП в гражданском обороте было связано со значительными трудностями, обеспечивало участие в обмене электронными документами только ограниченного круга участников и требовало проведения большой подготовительной работы по выработке и заключению специальных соглашений.

Наряду с упомянутыми выше положениями п. 2 ст. 160 в Гражданском кодексе Российской Федерации упоминается о возможности фиксации прав, закрепляемых именной или ордерной ценной бумагой, в бездокументарной форме с помощью средств электронно-вычислительной техники (п. 1 ст. 149 ГК РФ), о возможности заключить договор в письменной форме путем обмена документами посредством электронной связи, позволяющей достоверно установить, что документ исходит от стороны по договору (п. 2 ст. 434 ГК РФ), предусмотреть в договоре банковского счета удостоверение прав распоряжения находящимися на счете денежными суммами с применением электронных средств платежа и других документов с использованием аналогов собственноручной подписи (п. 3 ст. 847 ГК РФ). С принятием Закона об ЭЦП эти положения найдут еще более широкое применение.

Федеральный закон от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" содержит формальные определения таких понятий, как "информация", "документированная информация", "документ", "информатизация", "информационные ресурсы". В п. 3 ст. 5 этого Закона говорится: "Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью. Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования".

Практическая ценность положений данного Закона для использования ЭЦП невелика. Указание в ст. 2 Закона об ЭЦП на одинаковую применимость к отношениям, связанным с использованием ЭЦП, Закона об ЭЦП и Федерального закона "Об информации, информатизации и защите информации" может приводить к возникновению трудностей на практике.

Так, согласно п. 2 ст. 5 Федерального закона "Об информации, информатизации и защите информации" "документ, полученный из автоматизированной информационной системы, приобретает юридическую силу после подписания должностным лицом в порядке, установленном законодательством Российской Федерации". В каком нормативном акте искать такой порядок, где найти такое должностное лицо, как частным лицам использовать ЭЦП по собственному усмотрению, являются ли недействительными не подписанные таким образом документы, в Федеральном законе не определено.

В связи с тем, что Закон об ЭЦП специально посвящен вопросам использования ЭЦП и принят после Федерального закона "Об информации, информатизации и защите информации", в случае возникновения любых правовых коллизий положения Закона об ЭЦП имеют большую юридическую силу.

Среди других законодательных актов, имеющих отношение к правовому регулированию вопросов, связанных с использованием ЭЦП, могут быть названы Федеральный закон от 16 февраля 1995 г. N 15-ФЗ "О связи" и Федеральный закон от 4 июля 1996 г. N 85-ФЗ "Об участии в международном информационном обмене", которые также определяют понятия "документированная информация", "информационные ресурсы", "информационные продукты", "информационные услуги". Например, под "документом" здесь понимается "зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать".

Федеральный закон от 8 августа 2001 г. N 128-ФЗ "О лицензировании отдельных видов деятельности" в ст. 17 устанавливает обязательность лицензирования деятельности по выдаче сертификатов ключей ЭЦП, регистрации владельцев ЭЦП, оказанию услуг, связанных с использованием ЭЦП, и подтверждению подлинности ЭЦП. Кроме того, предусмотрено лицензирование деятельности:

- по распространению шифровальных (криптографических) средств;

- по техническому обслуживанию шифровальных (криптографических) средств;

- по предоставлению услуг в области шифрования информации;

- по разработке, производству шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем.

Указ Президента РФ от 3 апреля 1995 г. N 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставлении услуг в области шифрования информации" устанавливает запрет использования в информационно-коммуникационных системах шифровальных средств и средств обеспечения подлинности, а также средств хранения, обработки, передачи информации, не прошедших сертификацию Федерального агентства правительственной связи и информации (ФАПСИ).

Постановлением Правительства Российской Федерации от 11 февраля 2002 г. N 135 "О лицензировании отдельных видов деятельности" осуществление лицензирования деятельности по выдаче сертификатов ключей ЭЦП, регистрации владельцев ЭЦП, оказанию услуг, связанных с использованием ЭЦП, и подтверждению подлинности ЭЦП, а также осуществление лицензирования иных указанных выше видов деятельности возложено на Федеральное агентство правительственной связи и информации (ФАПСИ).

Важное практическое значение имеет нормотворческая деятельность ФАПСИ.

Следует упомянуть также о государственных стандартах, относящихся к рассматриваемой области:

1) ГОСТ 6.10.4-84 "Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники", определявший требования к составу и содержанию реквизитов, придающих юридическую силу документам на машинных носителях, информации, создаваемым средствами вычислительной техники, а также порядок внесения изменений в указанные документы;

2) ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования";

3) ГОСТ Р 34.10-94 "Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма";

4) ГОСТ Р 34.11-94 "Функция хеширования".

В российской правовой доктрине акты, издаваемые судебными органами, обычно не относятся к источникам права, однако часто они имеют важное значение при толковании и применении правовых норм. Для рассматриваемой области правового регулирования интерес представляют, в частности:

1) Инструктивные указания Государственного Арбитража СССР "Об использовании в качестве доказательств по арбитражным делам документов, подготовленных с помощью электронно-вычислительной техники" N И-1-4 от 29 июня 1979 г.;

2) постановление Пленума Верховного Суда Российской Федерации N 10 от 1 января 1983 г.;

3) упомянутое ранее Письмо Высшего Арбитражного Суда Российской Федерации от 19 августа 1994 г. N С1-7/ОП-587 (в ред. информационного письма ВАС от 12 сентября 1996 г. N С1-7/ОП-554);

4) Письмо Высшего Арбитражного Суда Российской Федерации от 7 июня 1995 г. N С1-7/ОЗ-316;

5) постановление Пленума Верховного Суда Российской Федерации N 13 от 24 декабря 1993 г.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В статье содержатся определения основных понятий, которые применяются в данном Законе. Закрепление в российских законодательных актах определений используемых в них понятий объясняется прежде всего стремлением законодателя устранить возможность неправильных толкований законодательных положений в процессе правоприменения. Кроме того, описание основных понятий позволяет указать в самом Законе об ЭЦП на механизм работы ЭЦП, что в значительной степени должно способствовать пониманию лежащих в ее основе технологии и создаваемого механизма правового регулирования.

Одним из основополагающих понятий, используемых в Законе об ЭЦП, является понятие "электронный документ", которое определяется как "документ, в котором информация представлена в электронно-цифровой форме", т.е. в виде последовательности двоичных символов. К главной особенности электронного документа можно отнести отсутствие жесткой привязки к конкретному материальному носителю. Один и тот же электронный документ может существовать на разных носителях, поэтому к нему не применимы такие понятия, как оригинал и копия. Все идентичные по своему содержанию экземпляры электронного документа могут рассматриваться как оригиналы и отличаться друг от друга только датой создания. В качестве копии электронного документа может рассматриваться только его копия на бумажном носителе.

Достоверность электронного документа может подтверждаться с помощью ЭЦП, которая определяется в Законе об ЭЦП как "реквизит электронного документа, предназначенный для его защиты от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи".

Интересно сравнить данное определение с определениями ЭЦП, даваемыми в законодательных актах других стран.

В соответствии с Законом ФРГ "О цифровой подписи" цифровая подпись (нем. - digitale signatur, англ. - digital signature) - это "созданная с помощью частного ключа печать к цифровым данным, которая с помощью соответствующего открытого ключа, снабженного сертификатом ключа подписи, выданным сертифицирующим центром или государственным учреждением, позволяет определить владельца ключа подписи и подлинность данных".

В американском праве используется следующее определение понятия электронной подписи: "электронный звук, символ или процесс, присоединенный или логически соединенный с контрактом или иным документом (записью) и производимый или принимаемый лицом с целью подписания документа (записи)".

В австрийском Законе об электронной подписи под электронной подписью понимаются "электронные данные, которые приданы к другим электронным данным либо логически соединены с последними и служат для аутентификации последних либо идентификации лица, поставившего подпись".

Определение понятия электронной подписи в Директиве ЕС об ЭЦП подробно рассматривалось в комментарии к ст. 1 Закона.

Как видно из приведенных примеров, законодательные определения электронной подписи, цифровой подписи, ЭЦП насыщены техническими терминами, что в значительной степени затрудняет их понимание.

Основу для создания и использования закрепляемой российским законодательством ЭЦП составляет применение криптографической технологии, в частности, криптографическое преобразование информации. К сожалению, несмотря на многочисленные предложения, данное понятие не было раскрыто в Законе об ЭЦП.

В буквальном переводе с греческого "криптография" означает "тайнопись", т.е. согласно толковым словарям, - способ тайного письма, делающего текст непонятным для непосвященных лиц. В соответствии с более широким, техническим определением криптографическое преобразование представляет собой одну из разновидностей шифрования, при которой с помощью секретного параметра преобразования (закрытого ключа) устанавливается взаимно-однозначное соответствие между блоком открытой информации, представленной в цифровом виде, и блоком шифрованной информации, также представленной в цифровом виде.

Система криптографической защиты может обеспечивать конфиденциальность информации, контроль доступа к ней, возможность однозначной идентификации отправителя информации, и исключает модификацию, незаметное для отправителя и получателя информации внесение изменений, отказ отправителя информации от своего авторства.

Криптография делится на два класса: с симметричными ключами и с открытыми ключами. В криптографии с симметричными ключами отправитель и получатель информации используют один и тот же общий ключ для шифровки и дешифрации сообщений. Криптография с симметричными ключами отличается высокой стойкостью, т.е. невозможностью несанкционированной дешифрации, но имеет ограниченную область применения, так как изначально предназначена для целей ограничения доступа посторонних лиц к передаваемой информации.

ЭЦП основывается на криптографии с открытыми ключами, в которой используются два ключа (коды, уникальные последовательности символов) - закрытый ключ и открытый ключ, причем открытый ключ должен соответствовать закрытому.

Закрытый (секретный, частный, личный) ключ имеется только у отправителя сообщения, а открытый (публичный) предоставляется адресату сообщения. Известный только владельцу ЭЦП закрытый ключ используется для выработки ЭЦП, а общедоступный предназначен для проверки ЭЦП.

Сообщение, преобразованное (зашифрованное) с использованием закрытого ключа, можно проверить с помощью соответствующего открытого ключа, который позволяет установить, что сообщение подписано именно обладателем закрытого ключа. Однако с помощью такого открытого ключа невозможно вычислить, определить закрытый ключ, используемый для создания шифрованных сообщений.

При криптографическом преобразовании электронного документа получается так называемое "хэш-значение" этого документа, иногда именуемое "сверткой сообщения" или "цифровым дайджестом сообщения" (message digest), причем вычисляемое с применением определенного алгоритма "хэш-значение" каждого электронного документа. При внесении малейшего изменения в электронный документ его "хэш-значение" изменяется.

Получатель электронного документа может с помощью открытого ключа отправителя расшифровать указанное отправителем "хэш-значение" и сравнить его с фактическим "хэш-значением" полученного документа. Совпадение обоих "хэш-значений" гарантирует, что электронный документ был подписан именно отправителем (обладателем закрытого ключа) и что в этот документ после подписания не вносились никакие изменения. Если проверяемое соотношение оказывается выполненным, то документ признается подлинным, в противном случае он считается недействительным.

Разумеется, для осуществления всех этих операций необходимо специальное программное обеспечение. ЭЦП вырабатывается (генерируются закрытый и открытый ключи) и проверяется с помощью специальных аппаратных или программных средств, именуемых в Законе об ЭЦП средствами ЭЦП, которые подлежат сертификации в соответствии с законодательством Российской Федерации о сертификации продукции и услуг. Следует обратить внимание, что во всех случаях, когда речь идет о сертификации средств ЭЦП термин "сертификация" понимается в соответствии с тем значением, в каком этот термин используется в законе Российской Федерации "О сертификации продукции и услуг", и не имеет никакого отношения к иным упоминаниям о сертификации, встречающимся в Законе об ЭЦП в совершенно ином значении.

Алгоритм криптографического преобразования должен соответствовать ГОСТу 28147-89 "Процедуры выработки и проверки ЭЦП", а также "хэш-функции" должны соответствовать алгоритмам, определяемым ГОСТами Р 34.10-94 и Р 34.11-94.

ЭЦП позволяет гарантировать подлинность информации, содержащейся в электронном документе, а также дает возможность доказать любой третьей стороне (партнеру по сделке, суду), что электронный документ был подписан именно отправителем или по его поручению и именно в том виде, в каком он предъявляется.

Без знания закрытого ключа невозможно подделать ЭЦП или незаметно изменить содержание электронного документа, удостоверенного ЭЦП.

Общедоступный открытый ключ используется для проверки подлинности документа и ЭЦП, а также лишает подписавшее электронный документ лицо возможности оспорить факт его подписания.

Однако получателю сообщения необходимо быть уверенным в том, что предоставленный ему открытый ключ не просто соответствует конкретному закрытому ключу, но и в том, что оба эти ключа принадлежат именно тому лицу, которого получатель сообщения считает отправителем сообщения. Существует возможность распространять свой открытый ключ под чужой фамилией, в связи с чем возникла необходимость в сертификации таких открытых ключей.

Сущность сертификации ключей заключается в том, что открытый ключ вместе с именем владельца соответствующего закрытого ключа подписывается третьей стороной, известной обоим пользователям - удостоверяющим центром. Без такой дополнительной защиты злоумышленник может представить себя отправителем подписанных данных. Поэтому криптография с открытыми ключами требует наличия развитой инфраструктуры открытых ключей (PKI - Public Key Infrastructure) - системы удостоверяющих центров, основы для создания которой закреплены в Законе об ЭЦП. Открытый ключ, подписанный цифровой подписью удостоверяющего центра, называется сертификатом ключа подписи.

Таким образом, для заверения электронного документа используется ЭЦП его отправителя, а для заверения электронного сертификата, подтверждающего принадлежность используемого для проверки ЭЦП открытого ключа конкретному лицу, применяется ЭЦП удостоверяющего центра, являющегося основным элементом системы использования ЭЦП.

Удостоверяющий центр (сертифицирующий центр, нем. - zertifizierungsstelle, англ. - certification authority, используются также термины Trust Center и Trustcenter) - это лицо, которое удостоверяет связь открытых ключей подписи с определенным физическим лицом. Любое лицо - пользователь открытого ключа ЭЦП (лицо, которое желает идентифицировать владельца ЭЦП при помощи сертификата ключа ЭЦП) вправе обратиться к удостоверяющему центру, выдавшему сертификат данного ключа, за подтверждением информации, содержащейся в сертификате, а также за проведением проверки ЭЦП. В соответствии с требованиями Закона об ЭЦП и Федерального закона "О лицензировании отдельных видов деятельности" деятельность удостоверяющих центров подлежит лицензированию.

Законом об ЭЦП предусмотрено создание трехуровневой системы использования ЭЦП: обменивающиеся электронными документами владельцы и пользователи сертификатов ЭЦП ("клиенты"), выдающие сертификаты ЭЦП удостоверяющие центры и контролирующий деятельность этих центров федеральный орган исполнительной власти. Причем в отношении удостоверяющих центров такой федеральный орган исполнительной власти сам выполняет роль своеобразного удостоверяющего центра, ведущего реестр сертификатов ключей ЭЦП, которыми пользуются остальные удостоверяющие центры при работе с клиентами.

Заслуживает особого рассмотрения вопрос об определении владельца ЭЦП, именуемого в Законе об ЭЦП владельцем сертификата ключа подписи. В соответствии с российским Законом об ЭЦП ее владельцем может быть только физическое лицо. Такой подход принят и в европейском законодательстве. Так, по германскому законодательству ЭЦП может принадлежать только физическому лицу.

Как и в случае с собственноручной подписью, физическое лицо может действовать от имени юридического лица, но на такое полномочие обязательно должно быть указано в сертификате ключа подписи.

В законодательстве США допускается принадлежность ЭЦП не только физическим, но и юридическим лицам. Этот подход представляется очень неудачным, не способствующим безопасности электронного документооборота, поскольку при этом возрастает вероятность неавторизированного использования ЭЦП юридического лица, поэтому сложно установить конкретное физическое лицо, осуществившее подписание электронного документа.

Данные в ст. 3 Закона об ЭЦП определения информационной системы общего пользования и корпоративной информационной системы в пояснениях не нуждаются. Корпоративные информационные системы существовали до принятия Закона об ЭЦП и основывались на соглашениях участвующих в них лиц. Основной целью принятия Закона об ЭЦП было создание правовых основ для функционирования информационных систем общего пользования, о которых пойдет речь в дальнейшем, а в отношении корпоративных информационных систем будут сделаны только отдельные оговорки.

Некоторые важные вопросы в Законе об ЭЦП остались нерешенными. Например, отсутствует такое важное понятие, как "отметка времени" (нем. - zeitstempel, англ. - time stamp), которое в германском законодательстве определяется как "заверенное цифровой подписью свидетельство (удостоверение), выданное сертифицирующим центром о том, что определенные цифровые данные были ему представлены в определенный момент времени".

Большим недостатком Закона об ЭЦП является также отсутствие описания процедур проверки ЭЦП.

Создатели Закона об ЭЦП пошли по пути привязки сертификатов ключей ЭЦП к конкретному виду отношений, для которых может использоваться ЭЦП. Таким образом, ЭЦП имеет юридическое значение аналога собственноручной подписи только при наличии сертификата и только при использовании в рамках описанных в нем ограничений (см. комментарий к ст. 6 Закона).

В Законе не решен вопрос, всегда ли средства ЭЦП должны рассматриваться как средства шифрования.

В настоящее время во многие программные средства входят криптографические механизмы обработки данных, причем их изъятие из готовых программных продуктов зачастую невозможно. Например, операционная система Windows 2000 включает средства шифрования и цифровой подписи. В связи с этим возникает вопрос, на какие случаи требования о лицензировании и сертификации будут распространяться, а на какие нет. Так как на законодательном уровне этот вопрос не решен, видимо, в ближайшее время следует ожидать попытки найти решения на уровне подзаконных актов, что может привести к неоднозначным последствиям.

В целом Закон об ЭЦП представляет собой довольно жесткий акт, допускающий только один вид электронной подписи - ЭЦП с использованием криптографической технологии открытого ключа, предусматривающий государственное регулирование механизма удостоверения подписи, лицензирование удостоверяющих центров, а также сертификацию средств ЭЦП. Закон фактически привязывает понятие цифровой подписи не только к конкретной технологии, но и к конкретным стандартам.

Такой подход обычно объясняется заботой о защите прав участников информационного обмена. Насколько эффективным окажется функционирование подобной системы, во многом зависит от активной роли государства в решении вопросов, связанных с электронной коммерцией.