Глава III. Удостоверяющие центры

Статья 8. Статус удостоверяющего центра

На удостоверяющие центры возлагаются основные задачи по обеспечению функционирования технологии ЭЦП.

Закон об ЭЦП устанавливает, что удостоверяющим центром для информационных систем общего пользования может быть юридическое лицо, выполняющее предусмотренные Законом об ЭЦП функции. Деятельность такого юридического лица в качестве удостоверяющего центра не является исключительной и может осуществляться наряду с иными видами деятельности.

Основным требованием, предъявляемым к такому юридическому лицу, является наличие у него достаточных материальных и финансовых возможностей, позволяющих нести гражданскую ответственность перед пользователями. Предусмотрено, что такая ответственность наступает за убытки, которые пользователи понесли из-за недостоверности сведений, включенных удостоверяющим центром в сертификат ключа подписи.

В Законе не определяется, при каких условиях наступает такая ответственность, т.е. могут ли удостоверяющие центры привлекаться к ней только при наличии вины или они несут ответственность на началах предпринимательского риска, как это предусмотрено п. 3 ст. 401 Гражданского кодекса Российской Федерации. Согласно проекту Закона об ЭЦП предусматривалось, что удостоверяющими центрами могут быть только коммерческие организации, однако принятый Закон об ЭЦП допускает осуществление некоммерческими организациями функций удостоверяющих центров.

Согласно проекту Закона об ЭЦП удостоверяющий центр должен быть способен нести гражданскую ответственность в размере в 1 тыс. раз большем, чем максимальный предел сделки, который данный удостоверяющий центр может указывать в сертификатах ключей подписи. При работе над проектом это положение было исключено из-за отсутствия организаций, способных аккумулировать денежные средства в необходимом объеме. Кроме того, ЭЦП применяется не только для удостоверения сделок, но и для совершения других юридически значимых действий, в частности, удостоверения некоторых документов, которые не могут быть отнесены к договорам или сделкам.

В действующем Законе об ЭЦП решение вопроса о требованиях, предъявляемых к материальным и финансовым возможностям удостоверяющих центров, предоставлено Правительству Российской Федерации. В качестве одного из возможных способов обеспечения интересов пользователей рассматривается вариант введения обязательного страхования ответственности удостоверяющих центров.

Обеспечение системы доверия, включающей в себя механизм ответственности, является объектом особого внимания в Директиве ЕС об ЭЦП, однако она также ограничивается общими указаниями на то, что удостоверяющий центр должен располагать финансовыми ресурсами, достаточными для осуществления деятельности, включая возможную имущественную ответственность перед лицами, понесшими убытки вследствие недостоверности содержания сертификатов, выдаваемых удостоверяющим центром.

Законодательство стран ЕС разрешает удостоверяющим центрам устанавливать предельный объем сделок, в отношении которых действует ЭЦП. Удостоверяющие центры не несут ответственности за убытки участников информационной системы, превышающие этот максимальный предел. В российском Законе об ЭЦП подобные возможности для ограничения ответственности удостоверяющих центров не предусмотрены.

Закон об ЭЦП содержит требование о лицензировании деятельности удостоверяющих центров. Федеральный закон "О лицензировании отдельных видов деятельности" конкретизирует, что лицензированию подлежит деятельность по выдаче сертификатов ключей ЭЦП, регистрации владельцев ЭЦП, оказанию услуг, связанных с использованием ЭЦП, и подтверждению подлинности ЭЦП.

Постановлением Правительства Российской Федерации от 11 февраля 2002 г. N 135 "О лицензировании отдельных видов деятельности" утвержден Перечень федеральных органов исполнительной власти, осуществляющих лицензирование, в соответствии с которым лицензирование указанных видов деятельности возложено на Федеральное агентство правительственной связи и информации (ФАПСИ).

В корпоративной информационной системе по соглашению ее участников функции удостоверяющего центра могут выполняться одним из участников. Остается неясным вопрос о необходимости лицензирования деятельности такого участника. Как следует из документов, связанных с разработкой и принятием Закона об ЭЦП, в намерения законодателя не входило установление лицензирования деятельности участника корпоративной информационной системы, выполняющего функции удостоверяющего центра в этой системе. Однако буквальное толкование п. 2 ст. 8 Закона об ЭЦП приводит к совершенно противоположным выводам. Очевидно, что решение этого вопроса будет зависеть от того, какое толкование положениям Закона об ЭЦП будет дано при разработке подзаконной нормативно-правовой базы.

Статья 9. Деятельность удостоверяющего центра

Основные функции удостоверяющих центров связаны с изготовлением сертификатов ключей подписей, их приостановлением, возобновлением, аннулированием, ведением их реестра.

Удостоверяющий центр выдает заинтересованным лицам сертификаты ключей подписей, содержащие открытые ключи, с помощью которых пользователи могут проверять в получаемых ими электронных документах подписи владельцев соответствующих закрытых ключей ЭЦП. Такие сертификаты ключей подписей должны содержать указанную в Законе информацию об их действии и могут выдаваться удостоверяющим центром в виде как документов на бумажных носителях, так и электронных документов.

Кроме того, удостоверяющий центр может осуществлять по обращениям заинтересованных лиц подтверждение подлинности ЭЦП в электронных документах, а также оказывать участникам информационных систем другие услуги, связанные с использованием ЭЦП. Например, Закон об ЭЦП не запрещает всем желающим самим вырабатывать ЭЦП, т.е. получать с использованием средств ЭЦП соответствующие друг другу открытый и закрытый ключи. Однако не все заинтересованные лица обладают необходимыми для этого аппаратными или программными средствами ЭЦП. Они вправе обратиться в удостоверяющий центр, который создаст для них открытый и закрытый ключи ЭЦП с условием сохранять в тайне закрытый ключ ЭЦП.

Пункт 2 ст. 9 Закона посвящен вопросам изготовления сертификатов ключей подписей и дополняет положения ст. 6 Закона об ЭЦП. Изготовление такого сертификата осуществляется удостоверяющим центром на основании заявления участника информационной системы, которое содержит все предусмотренные Законом об ЭЦП сведения, необходимые для идентификации владельца ЭЦП. Изложенные в заявлении сведения должны быть подтверждены документами, а само заявление подписано собственноручно.

Закон об ЭЦП устанавливает, что удостоверяющим центром должно быть оформлено два сертификата ключа подписи на бумажных носителях, которые заверяются собственноручными подписями владельца ЭЦП и уполномоченного лица удостоверяющего центра, а также печатью удостоверяющего центра. Один экземпляр выдается владельцу ЭЦП, а второй остается в центре.

Таким образом, Закон об ЭЦП не предусматривает возможности подписания заявлений об изготовлении сертификата подписи или самих сертификатов с использованием уже имеющихся у владельца ЭЦП. При оформлении каждого сертификата ключа подписи, необходимого для использования каждой ЭЦП, требуется подписание документов на бумажных носителях. Такие требования повышают надежность функционирования системы ЭЦП, но замедляют скорость ее распространения.

В п. 4 ст. 9 Закона об ЭЦП указывается на безвозмездность оказываемых удостоверяющим центром услуг по выдаче заинтересованным лицам сертификатов ключей подписи для проверки ЭЦП и информации об их действии в виде электронных документов. Затраты на бесплатное осуществление данного вида деятельности, несомненно, будут включены в оплату остальных услуг, оказываемых удостоверяющим центром участникам информационной системы. Закон об ЭЦП не содержит каких-либо препятствий для самостоятельного определения удостоверяющим центром своей тарифной политики.

На практике может возникнуть вопрос об ответственности удостоверяющего центра за попытки взимания платы за предоставление пользователям сертификатов для проверки ЭЦП, в том числе за счет навязывания комплекса дополнительных услуг. Представляется, что если такие нарушения Закона об ЭЦП будут совершаться неоднократно, то в соответствии со ст. 13 Федерального закона "О лицензировании отдельных видов деятельности" они могут рассматриваться как основания для аннулирования выданной удостоверяющему центру лицензии при условии, если рассматриваемые положения Закона об ЭЦП будут закреплены в качестве лицензионных требований в соответствующем положении о лицензировании.

Статья 10. Отношения между удостоверяющим центром и уполномоченным федеральным органом исполнительной власти

Законом предусмотрено, как это было отмечено в комментарии к ст. 4, создание трехуровневой системы функционирования ЭЦП:

1) владельцы и пользователи ЭЦП - "конечные потребители" ЭЦП;

2) удостоверяющие центры - организации-посредники, обеспечивающие функционирование системы ЭЦП, в частности, подтверждающие принадлежность открытых ключей, предназначенных для проверки ЭЦП, конкретным лицам - владельцам закрытых ключей ЭЦП;

3) уполномоченный федеральный орган исполнительной власти.

Задачами такого уполномоченного федерального органа исполнительной власти являются не только осуществление контроля и надзора за деятельностью удостоверяющих центров, но и ведение единого государственного реестра сертификатов ключей подписей, используемых удостоверяющими центрами при работе с клиентами, а также выполнение ряда других функций. Фактически такой орган - не только контролирующая инстанция, но и удостоверяющий центр для других удостоверяющих центров и некоторых должностных лиц (ст. 16 Закона об ЭЦП).

В настоящее время есть основания полагать, что функции такого "уполномоченного федерального органа исполнительной власти" будет выполнять Федеральное агентство правительственной связи и информации (ФАПСИ).

В ФРГ принята за основу наиболее простая модель взаимодействия всех трех звеньев системы ЭЦП: уполномоченный государственный орган изготавливает сертификаты ключей подписи, которые используются удостоверяющими центрами для подписания сертификатов клиентов. Таким образом, создается иерархия сертификатов: государственный орган своей ЭЦП удостоверяет подпись сертифицирующего центра, который в свою очередь своей подписью удостоверяет подписи "конечных пользователей".

В российском Законе об ЭЦП закреплена более сложная схема деятельности уполномоченного федерального органа исполнительной власти.

До того, как уполномоченное лицо удостоверяющего центра начнет использовать свою ЭЦП для заверения сертификатов ключей подписей, выдаваемых от имени такого центра, сертификат ключа подписи, используемой для указанных целей, должен быть представлен в уполномоченный федеральный орган исполнительной власти в виде электронного документа и собственноручно подписанного и заверенного документа на бумажном носителе.

Сведения о таких сертификатах, применяемых удостоверяющими органами при работе с клиентами, заносятся в единый государственный реестр подписей, которыми удостоверяющие центры заверяют выдаваемые ими сертификаты ключей подписей. Такие подписи могут использоваться только после включения в единый государственный реестр и только для целей заверения сертификатов.

Уполномоченный федеральный орган исполнительной власти обязан обеспечить свободный доступ к единому государственному реестру и выдавать сертификаты ключей ЭЦП уполномоченных лиц удостоверяющих центров для того, чтобы у заинтересованных лиц была возможность проверки таких подписей.

Наряду с указанной деятельностью уполномоченный федеральный орган исполнительной власти осуществляет на основании обращений заинтересованных лиц, организаций и органов подтверждение подлинности ЭЦП, используемых удостоверяющими центрами в выдаваемых ими сертификатах ключей подписи, а также иные полномочия по обеспечению функционирования системы ЭЦП.

Кроме того, в некоторых случаях уполномоченный федеральный орган исполнительной власти выступает непосредственно в роли удостоверяющего центра (ст. 16 Закона об ЭЦП).

Статья 11. Обязательства удостоверяющего центра по отношению к владельцу сертификата ключа подписи

Положения ст. 11 Закона об ЭЦП, определяющие обязательства удостоверяющего центра по отношению к владельцу ЭЦП, сформулированы в виде императивных норм. Следовательно, любое соглашение, предусматривающее освобождение удостоверяющего центра от этих обязательств, является ничтожным.

Внесение сертификата ключа подписи в реестр, который ведет удостоверяющий центр, а также выдача сертификатов любому обратившемуся участнику информационной системы относятся к числу основных функций удостоверяющего центра.

Владелец ЭЦП в любое время вправе потребовать приостановить действие сертификата ключа подписи (подробнее см. ст. 13 Закона об ЭЦП).

К числу "иных обязательств", которые удостоверяющий центр несет перед владельцем ЭЦП, относится, в частности, предусмотренное абз. третьим п. 1 ст. 9 обязанность центра принимать меры для сохранения в тайне закрытого ключа ЭЦП в тех случаях, когда ключи ЭЦП вырабатывались удостоверяющим центром по просьбе ее владельца.

В Законе об ЭЦП специально не указывается на обязанность удостоверяющего центра сохранять в тайне личные идентификационные номера (так называемые "PIN-коды" - от англ. Personal Identification Number) или иные данные, служащие для идентификации владельца ЭЦП в процессе доступа к носителю информации с закрытым ключом подписи. В качестве такого носителя может выступать, например, пластиковая "чип-карта", содержащая частный ключ подписи. Для использования этой карты необходимо знание пароля доступа к ней - "PIN-кода". Такая технология позволяет создать гораздо большие гарантии безопасности по сравнению с хранением закрытого ключа ЭЦП в компьютере или на дискете. Представляется, что предъявляемые Законом об ЭЦП к удостоверяющему центру требования о сохранении в тайне генерируемых в таком центре закрытых ключей в полной мере распространяются и на любые "пароли", служащие для доступа к таким ключам.

Что касается обязанностей удостоверяющего центра по защите предоставленных ему персональных данных владельца ЭЦП, то в Законе об ЭЦП она прямо не предусмотрена, следовательно, такая защита может основываться на общих положениях гражданского законодательства или на соглашении сторон по данному вопросу.

Статья 12. Обязательства владельца сертификата ключа подписи

Перечисленные в статье обязанности владельца ЭЦП связаны в основном с обеспечением безопасности электронного документооборота в электронной системе.

Владелец ЭЦП не вправе использовать ключи ЭЦП, если он знает о том, что эти ключи уже использовались или используются другими лицами. Владелец ЭЦП обязан хранить в тайне закрытый ключ ЭЦП и обязан немедленно требовать приостановления действия сертификата ключа подписи в случае так называемой "компрометации закрытого ключа ЭЦП". Этот термин широко используется в зарубежном законодательстве и обозначает утрату владельцем ЭЦП по каким-либо причинам доверия к ЭЦП, появление у владельца сомнений в сохранении тайны закрытого ключа ЭЦП. Достаточность оснований для предъявлением владельцем ЭЦП требования о приостановлении действия сертификата ключа подписи определяется самим владельцем ЭЦП. Удостоверяющий центр в соответствии с положениями ст. 11 Закона об ЭЦП не вправе отказать владельцу ЭЦП в приостановлении действия сертификата ключа подписи.

Законом об ЭЦП предусмотрена строгая ответственность владельца ЭЦП за невыполнение обязанностей по обеспечению тайны закрытого ключа ЭЦП. При несоблюдении установленных Законом об ЭЦП требований владелец ЭЦП в случае несанкционированного использования его закрытого ключа другими лицами обязан возместить все причиненные вследствие этого убытки. Такие убытки могут быть причинены другим участниками информационной системы, удостоверяющему центру, а также другим физическим и юридическим лицам.

Поскольку владельцы ЭЦП - физические лица, они, в соответствии с п. 1 ст. 401 Гражданского кодекса Российской Федерации, несут ответственность только при наличии вины. Положения п. 3 ст. 401 ГК РФ о возможности привлечения к ответственности на началах предпринимательского риска при осуществлении предпринимательской деятельности вряд ли применимы в данном случае.

В отношении граждан, не являющихся индивидуальными предпринимателями (предпринимателями без образования юридического лица), действует презумпция о непредпринимательском характере совершаемых ими сделок, которую очень тяжело опровергнуть. Если при использовании ЭЦП гражданин выступает как работник юридического лица, то в предпринимательские правоотношения вступает не сам гражданин, а представляемое им юридическое лицо. Наконец, даже если гражданин является индивидуальным предпринимателем, будет очень нелегко доказать, что обязательства, связанные с хранением закрытого ключа ЭЦП, должны рассматриваться в качестве обязательств, связанных с предпринимательской деятельностью.

Что же касается доказывания наличия вины в действиях или бездействии владельца ЭЦП, приведших к несанкционированному использованию закрытого ключа ЭЦП и причинению убытков другим лицам, то в случае возникновения спора большую роль будут играть конкретные обстоятельства дела и субъективные факторы. Например, закрытый ключ может быть похищен, даже если приняты все разумные меры безопасности. При этом "кражу" закрытого ключа чаще всего сразу заметить трудно.

Таким образом, положения данной статьи дают основания предполагать появление довольно противоречивой судебной практики. Во многих случаях решения судов будут основываться прежде всего на признаниях и объяснениях самого владельца ЭЦП.

Статья 13. Приостановление действия сертификата ключа подписи

Закон об ЭЦП довольно детально регламентирует вопросы приостановления действия сертификата ключа подписи, то есть фактически приостановления возможности использования ЭЦП для совершения юридически значимых действий.

Указание о приостановлении действия ЭЦП может быть отдано владельцем ЭЦП, другим лицом либо органом, имеющим такое право в соответствии с законом или договором. В корпоративной информационной системе ее владелец или участники могут сами установить приемлемые для них правила приостановления действия ЭЦП.

Действие ЭЦП приостанавливается только после того, как информация об этом будет внесена в реестр сертификатов ключей подписей, который ведется удостоверяющим центром. Срок, в течение которого удостоверяющий центр обязан внести соответствующую информацию в реестр, должен устанавливаться согласно общим для всех владельцев ЭЦП правилам, однако по договоренности между удостоверяющим центром и владельцем ЭЦП внесение сведений о приостановлении действия ЭЦП может быть ускорено.

Интересное правило содержится в п. 3 ст. 13 Закона об ЭЦП: приостановление действия ЭЦП осуществляется на срок, определенный владельцем ЭЦП или иным лицом (органом), имеющим права требовать такого приостановления. Однако если до окончания срока приостановления действия ЭЦП распоряжение о возобновлении ее действия не последует, сертификат ключа подписи подлежит аннулированию.

Закон об ЭЦП обязывает удостоверяющий центр оповестить всех заинтересованных пользователей о приостановлении действия ЭЦП, но устанавливает, что такое оповещение осуществляется путем внесения информации о приостановлении в реестр сертификатов ключей подписей. Кроме того, удостоверяющий центр обязан известить о внесении информации в реестр владельца ЭЦП или иное лицо (орган), от которого он получил указание о приостановлении действия ЭЦП.

К числу явных недостатков Закона об ЭЦП относится нерешенность вопроса о возможности для третьих лиц требовать приостановления действия сертификата, в котором содержатся сведения о третьем лице. Например, в случаях, если в соответствии с п. 2 ст. 6 Закона об ЭЦП в сертификат ключа подписи были внесены указания, благодаря которым владелец ЭЦП вправе использовать ЭЦП при заключении сделок от имени юридического лица, работником которого он является, то вправе ли такая организация требовать приостановления или аннулирования сертификата ключа подписи? Данную проблему будет трудно разрешить на уровне подзаконных актов, хотя представляется, что в некоторых случаях могут быть найдены достаточные правовые основания для аннулирования сертификата ЭЦП (см. комментарий к ст. 14 Закона).

Статья 14. Аннулирование сертификата ключа подписи

В статье определен перечень случаев, когда удостоверяющий центр обязан аннулировать выданные им сертификаты ключа подписей, что должно повлечь прекращение применения соответствующей ЭЦП.

Наиболее очевидными причинами для аннулирования сертификата ключа подписи являются истечение срока его действия и письменное заявление владельца ЭЦП.

Указанная в комментарии к предыдущей статье проблема предоставления возможности третьим лицам, сведения о которых внесены в сертификат ключа подписи, требовать прекращения действия ЭЦП может быть в некоторых случаях решена путем ссылки на такое основание для аннулирования сертификата, как наличие у удостоверяющего центра достоверных сведений о прекращении действия документа, на основании которого оформлен сертификат ключа подписи. Так, основанием для аннулирования сертификата и прекращения действия ЭЦП могут служить: отмена выданной владельцу ЭЦП доверенности, расторжение трудового договора с владельцем ЭЦП и т.д., если в сертификате имелась ссылка на соответствующие документы.

Оповещение об аннулировании сертификата ключа подписи и прекращении действия ЭЦП осуществляется точно так же, как и оповещение о приостановлении действия сертификата и ЭЦП: путем внесения соответствующей информации в реестр сертификатов ключей подписи. Удостоверяющий центр обязан оповестить об аннулировании сертификата владельца ЭЦП и лицо (орган), от которого получено указание об аннулировании сертификата.

Следует особо отметить, что после аннулирования сертификата ранее подписанные ЭЦП документы автоматически не утратят юридическую силу. ЭЦП после прекращения ее действия не может применяться только для удостоверения новых документов, а в отношении ранее удостоверенных ее действительность не должна ставиться под сомнение только на том основании, что ее действие прекратилось.

Вероятно, в данном случае корректнее было бы говорить не об аннулировании, а о прекращении действия ЭЦП. К сожалению, во многих законодательных актах, в частности в Федеральном законе "О лицензировании отдельных видов деятельности", термин "аннулирование", который в буквальном смысле означает "признание недействительным" (с самого начала, с момента возникновения), употребляется вместо гораздо более уместного здесь термина "прекращение".

Статья 15. Прекращение деятельности удостоверяющего центра

При прекращении деятельности удостоверяющего центра, обеспечивающего использование ЭЦП в информационных системах общего пользования, должен применяться порядок, установленный гражданским законодательством.

В Законе об ЭЦП не указано на обязанность удостоверяющего центра проинформировать всех владельцев ЭЦП и иных заинтересованных лиц о прекращении его деятельности. Попытки обосновать такую обязанность ссылками на общие положения гражданского права, в частности, на ст. 63 ГК РФ, не всегда выглядят обоснованными. Так, не все лица, заинтересованные в получении информации о прекращении деятельности удостоверяющего центра, являются кредиторами этого центра.

В п. 2 ст. 15 Закона предусмотрена возможность передачи при прекращении деятельности одного удостоверяющего центра выданных им сертификатов другому удостоверяющему центру. Однако данное положение сформулировано так, что не обязывает кого-либо принимать меры для осуществления такой передачи.

Все сертификаты, не переданные в другой удостоверяющий центр, подлежат аннулированию. В Законе не решен вопрос о том, кто будет осуществлять их хранение, так как ст. 7 Закона об ЭЦП, ссылка на которую имеется в рассматриваемой статье, регулирует вопросы хранения сертификатов в самом удостоверяющем центре. Возможно, следует ориентироваться на содержащиеся в ст. 7 Закона об ЭЦП ссылки на законодательство Российской Федерации об архивах и архивном деле.