Что такое электронная подпись?
«Электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию» (п. 1 ст. 2). Обратим внимание на то, что это исчерпывающее название, и для того, чтобы что-то было электронной подписью (далее – ЭП), необходимо и достаточно наличие:
1. подписываемой информации;
2. возможности, опираясь на ЭП, установить лицо, подписавшее информацию (авторизация).
Что составляет основу использования ЭПв документообороте?
Фундамент образуют Гражданский Кодекс и 63-ФЗ. Часть 2 статьи 160 ГК устанавливает норму, в соответствии с которой использование при совершении сделок электронной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон. Стоит обратить внимание, что для использования ЭП может быть достаточно и минимального правового обеспечения - соглашения сторон признать правомерность такой подписи.
63-Ф3 ориентирован на устранение основных препятствий на пути использования ЭП. П. 3 ст. 4 устанавливает как принцип «недопустимость признания ЭП и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи». Более того: п. 2 и 3 ст. 4 утверждают (также как принципы), что пользователь может самостоятельно определять вид ЭП (закон различает три вида), технические средства и технологии для подписания и проверки подписи.
Самое главное: если ЭП и может быть отвергнута, то не потому, что она не является собственноручной подписью и сформирована специальными средствами, а по каким-то иным законным основаниям. Но и собственноручная подпись в некоторых случаях признается не имеющей юридической силы, что никак не снижает ее ценность. Факт неправомочности ЭП (как и собственноручной подписи) и подписанного с помощью ЭП документа придется доказывать, и доказать это не просто!
Здесь необходимы некоторые уточнения. Документ на бумажном носителе существует в ограниченном числе экземпляров, как правило, полностью совпадающих друг с другом. Проблем с установлением их авторства и целостности (отсутствия изменений, аутентичности) в большинстве случаев нет – слишком узок круг возможных проблем и возражений. Поэтому 63-ФЗ, по существу, в значительной своей части регламентирует то, что необходимо для «признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью».
Количество экземпляров электронного документа не ограничено, копирование(воспроизведение, дублирование) практически не ограничено. Резонно задать вопросы:
1. что необходимо и достаточно для признания того, что автор и содержание экземпляра электронного документа, появившегося на нашем компьютере, совпадают с автором и содержанием подписанного документа?
2. какие гарантии в рамках юридических процедур следуют из того, что мы имеем документ с ЭП того или иного вида?
Виды электронных подписей.Признаки и технологии
63-Ф3 устанавливает (ч. 1 ст. 5) различие между «простой электронной подписью» и «усиленной электронной подписью». Последняя, в свою очередь, может быть «усиленной неквалифицированной» или «усиленной квалифицированной». Далее для краткости авторы пользуются сокращениями П-ЭП (простая), УН-ЭП (усиленная неквалифицированная), УК-ЭП (усиленная квалифицированная).
Любые попытки предложить пользователю какую-либо «улучшенную простую подпись» (а такие попытки имеют место быть!) — не более чем маркетинговый ход, не имеющий никаких юридических оснований и/или последствий. Точно так же, как недопустимо и отрицание юридической значимости простой электронной подписи (П-ЭП).
Отметим, что такой популярный источник информации, как Википедия, дает определение, соответствующее только УК-ЭП, и не замечает существование двух других видов электронной подписи.
Простая электронная подпись (П-ЭП)действительно проста, т.к. это подпись, «которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом» (часть 2 статьи 5). Самое главное здесь: подтверждается только «факт формирования электронной подписи определенным лицом» - только авторизация. Никакой аутентификации документа (целостность, подтверждение текстуального соответствия изначальному варианту документа) П-ЭП сама по себе обеспечить не может и не обязана это делать. Способы создания (а также проверки, защиты и пр.) П-ЭП никак не регламентированы. Ч. 1 ст. 9 устанавливает возможные варианты размещения сведений об авторе и, по существу, оставляет практически неограниченными возможности в применении технологий и способов создания П-ЭП.
Самый простой способ формирования ПЭ-П основан на привычной системе «логин-пароль». Чуть более сложный вариант использует в дополнение подтверждение по одноразовому SMS-паролю. Есть и другие варианты.
Усиленная неквалифицированная электронная подпись (УН-ЭП)значительно сложнее в реализации и использовании. Ч. 3 ст. 5 устанавливает следующие ее признаки:
1. получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2. позволяет определить лицо, подписавшее электронный документ;
3. позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4. создается с использованием средств электронной подписи.
В этом списке в дополнение к авторизации п. 3 предписывает УН-ЭП реализацию функции установления аутентификации, а пункты 1 и 4 описывают необходимые технологии и средства создания ЭП. И здесь уже логином и паролем не обойдешься! Как не обойдешься и стандартными средствами ввода/вывода браузера или иной офисной системы. Информация при этом должна быть закодирована, а значит, и защищена от несанкционированного вмешательства. Важно и то, что УН-ЭП обеспечивает криптографическую защиту не только подписываемой информации, но сведений об авторе.
Обратим внимание на то, что, хотя закон требует наличие криптографической защиты и средств создания ЭП, специальных требований к криптографии и средствам не предъявляется. Именно здесь и лежит отличие УН-ЭП от усиленной квалифицированной ЭП.
Усиленная квалифицированная электронная подпись (УК-ЭП) на первый взгляд не сильно отличается от УН-ЭП. В соответствии с законом (ч. 4 ст. 5) УК-ЭП соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
1. ключ проверки электронной подписи указан в квалифицированном сертификате;
2. для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
Первый пункт – это организационный вопрос. А вот второй пункт устанавливает, что далеко не все средства и технологии могут быть использованы для создания такой подписи и требования к ним устанавливаются в соответствии с законом. Таким образом, качество и надежность всего, что связано с УК-ЭП, контролируется в соответствии с требованиями государства и в каком-то смысле гарантировано государством. Надо ли говорить о значимости этого факта при решении юридических проблем в случае возникновении проблем и конфликтов? При соблюдении всех требований, предъявляемых к УК-ЭП, оспорить что-либо очень трудно. Чего нельзя сказать в случае первых двух видов (П-ЭП и УН-ЭП).
ЭП в госзакупках
Законодательство о госзакупках устанавливает использование для целей электронного документооборота, работы с электронными торговыми площадками и с официальным сайтом (Единой информационной системой) усиленной неквалифицированной электронной подписи (ч. 3 ст. 4 и ст. 5 федерального закона от 05.04.2013 г. № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»). При этом по тексту закона используется термин «усиленная электронная подпись», что не должно никого вводить в заблуждение – в списке терминов четко указано, что под этим понимается именно «усиленная неквалифицированная» ЭП.
Юридическая сила документов с ЭП
Условия, при которых ЭП придает электронному документу юридическую силу, равную юридической силе документа на бумажном носителе с собственноручной подписью, устанавливаются ст. 6.
Самая простая ситуация с усиленной квалифицированной подписью. Для того, чтобы она имела полноценную юридическую силу и могла «применяться в любых правоотношениях в соответствии с законодательством», не нужно ничего! Она обладает этим качеством в силу того, что она есть именно УК-ЭП (ч. 1 ст. 6). Предъявить претензии к качеству УК-ЭП практически невозможно.
С первыми двумя видами подписи ситуация сложнее. Документ, подписанный П-ЭП или УН-ЭП, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия» (ч. 2 ст. 6). Т.е., для использования таких подписей необходим специальный документ. Это может быть закон или подзаконный акт. Но самое интересное и практически значимое в том, что этим документом может быть соглашение сторон – стороны договорились об использовании данного варианта ЭП и регламентировали такое использование.
Однако к такому регламенту законом предъявляются определенные требования. В частности, здесь же (ч. 2 ст. 6) установлено очень важное требование – документы, устанавливающие возможность использования П-ЭП и УН-ЭП, «должны предусматривать порядок проверки электронной подписи».
Ч. 3 ст. 6 устанавливает еще одну практически важную норму, связанную с применением печати. Если в соответствии с действующими нормами (законами, подзаконными нормативными правовыми актами, обычаем делового оборота) документ должен быть заверен печатью, электронный документ, подписанный усиленной (!) электронной подписью и признаваемый равнозначным документу на бумажном носителе, подписанному собственноручной подписью, признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью и заверенному печатью. П-ЭП ни в коей мере не воспроизводит процедуру скрепления документа печатью. Ч. 4 ст. 6 расширяет возможности применения ЭП так, что оказывается возможным одновременное подписание пакета документов («несколько связанных между собой электронных документов»).
Что может обеспечить ЭП?
Описание видов электронной подписи и условий признания юридической силы подписанных электронных документов позволяет сформулировать следующие практически важные выводы:
1. Простая электронная подписьможет обеспечить только «авторизацию» — установление лица, подписавшего документ.
2. Усиленная неквалифицированная ЭПдобавит к этому обеспечение установления целостности документа — был подписан именно этот данный текст документа (отсутствие изменений, аутентичность). При этом уровень защищенности самой УК-ЭП от несанкционированных воздействий на нее значительно выше, чем в случае П-ЭП.
3. Усиленная квалифицированная ЭПобеспечивает поддержку государства в случае попыток предъявить претензии к качеству (состоятельности) ЭП, включая установление авторизацию подписи и аутентичности документа. При этом будет достаточно надежно обеспечена «неотрекаемость» - невозможность отказаться от факта подписания и содержания документа.
Поскольку за «идеал» принимается документ на бумажном носителе, можно предложить ниже описанную модель. При определенной ее условности и ограниченности модель убедительно демонстрирует, что существуют различные варианты оформления документов – как с помощью собственноручной подписи, так и с помощью ЭП. Все варианты легитимны и имеют юридическую силу. Использование того или иного варианта определяется законом, или соглашением сторон, или обычаем делового оборота, а также целесообразным соотношением сложности реализации варианта и уровня ответственности (значимости) документа.
4. Подпись в конце документа.П-ЭП соответствует документу на бумаге, в котором на последней странице документа стоит подпись. Авторство устанавливается достаточно легко, но в реальности не представляет труда подменить неподписанные листы документа. Можно, конечно, доказать и поддельность собственноручной подписи, но это уже вопрос серьезной экспертизы. В случае П-ЭП трудно будет отрицать факт подписания документа или факт подписания именно лицом, указанным в подписи. А вот отрицать, что был подписан документ именно этого содержания, значительно проще.
5. Подпись на каждой странице и сшитый документ.Все листы документа подписаны, документ сшит (традиционными в деловом обороте методами), а сшивка также подписана. Это уже вариант УН-ЭП – устанавливается достаточно надежно целостность (аутентичность) документа.
6. Нотариально заверенный документ.Нотариус в соответствии с установленными законом правилами и в силу своих полномочий удостоверяет факт подписания документа и его аутентичность - «неотрекаемость» подписи и содержания документа практически гарантирована. Именно этому варианту в значительной степени соответствует УК-ЭП.
Все 3 варианта вполне приемлемы, и способ оформления документа и уровня его защищенности каждое лицо (юридическое, физическое) выбирает самостоятельно в зависимости от самых разных причин. Это справедливо как для бумажных документов, так и электронных. Законом или соглашением сторон может быть предусмотрено обязательное нотариальное заверение (или государственная регистрация) документов или использование УК-ЭП. Стороны могут считать приемлемым договор, подписанный только на последней странице, или с помощью П-ЭП. Варианты могут быть разные. Но ситуация при возникновении конфликтов и обращения в суд (или контролирующие органы) в этих трех случаях будет значительно отличаться, и аргументы сторон также будут различными.
Пример из судебной практики
Арбитражный суд г. Москвы рассмотрел в июле 2015 г. дело № А40-64044/15, изучил особенности использования П-ЭП для подписания документов и организации электронного документооборота между ООО «ИЭК ХОЛДИНГ» (клиент) и ООО «ТРАСТЛАЙН» (экспедитор) (см. http://sudact.ru/arbitral/doc/sfjLSZSqy9bs/)
Экспедитор отказал в удовлетворении претензии клиента, ссылаясь на то, что на его электронную почту сообщений с авторизованного адреса контрагента не поступало и поручение представителем экспедитора не подписывалось. Клиент при направлении претензии в качестве доказательства приложил распечатки заверенных электронных сообщений.
Попытка ответчика отказаться от факта подписания была отвергнута судом на том основании что: 1) возможность использования П-ЭП предусмотрена законом; 2) соглашение сторон о порядке использования П-ЭП соответствует закону; 3) истец адекватно исполнил указанное соглашение. Ответчик попытался оспорить целостность документов (факт отсутствия изменений в текстах электронных сообщений и файлов). Однако установление целостности было истцом подтверждено в соответствии с соглашением путем осмотра отправлений нотариусом.
Девятый арбитражный апелляционный суд постановлением от 18.09.2015 г. оставил указанное решение без изменений, а апелляционную жалобу без удовлетворения.
В целом эти решения можно считать «гимном» простой электронной подписи.
Что не понял ответчик.Очевидно, была выбрана провальная тактика защиты. Отрицать факт подписания практически было невозможно. Как невозможно в этой ситуации выбранным ответчиком способом (!) отрицать целостность документов — соглашение предусматривает порядок определения целостности, и этот порядок ответчиком был соблюден.
Ответчик мог бы попытаться отрицать целостность отправленных и полученных документов, высказать сомнения в подлинности подписи. Но основываться следовало бы на ненадежности средств создания ЭП и передачи информации, на невозможности уверенно доказать отсутствие искажений. Можно (нужно) было бы подчеркивать, что нотариус может удостоверить только тот факт, что на компьютере истца все в порядке, но доказать аутентичность полученной (использованной) ответчиком информации таким образом невозможно. При этом обязательно следовало бы попытаться доказать, что данная конкретная ситуация соглашением сторон не описана и не могла быть предвидена. Сделать все это было бы не просто, но в принципе возможно.
В случае применения УН-ЭП ситуация для ответчика была бы еще хуже. Говорить о возможности нарушения целостности документа или УН-ЭП было бы очень затруднительно. Пришлось бы проводить экспертизу технологий и средств создания ЭП, средств криптографической защиты и доказывать их несостоятельность. На сторону ответчика встали бы разработчики средств и технологий создания ЭП и криптозащиты, и их мнение было бы, скорее всего, учтено судом.
А вот в случае с УК-ЭП можно сказать с очень большой уверенностью, что попытки доказать неадекватность средств и технологий обречены на провал. Экспертиза уже проведена, и на высоком, определенном государством уровне! В соответствии с законом на технологии и средства имеется квалифицированный сертификат, выданный уполномоченной на то организацией.
Некоторые технические и организационные детали
Правила, установленные 63-ФЗ и подзаконными актами важны, поскольку без их соблюдения юридическая сила у документа с ЭП отсутствует. По существу, это означает, что при нарушении этих правил ЭП по факту отсутствует или, по крайней мере, не является ЭП указанного типа.
Среди множества деталей отметим некоторые.
1. Ограничение использования П-ЭП.Ч. 4 ст. 9 указывает, что П-ЭП не может применяться в связи с вопросами, касающимися государственной тайны. Это лишний раз подчеркивает, что при полноценной легитимности такого варианта государство в сложных и ответственных случаях не готово разбираться в конфликтах, возникающих вокруг документов подписанных П-ЭП.
2. Соблюдение конфиденциальности ЭП.63-ФЗ устанавливает требования соблюдения конфиденциальности и обеспечения правомерного использования ЭП (п. 2 ч. 2 ст. 9, пункты 1-3 ст. 10). Эта тема весьма глубока, обширна и явно заслуживает отдельного описания.
Стоит обратить внимание на одно распространенное заблуждение, касающееся практически важного обстоятельства. Законом (п. 1 ст. 10) определено, что при использовании усиленных ЭП участники электронного взаимодействия обязаны не допускать использование принадлежащих им ключей ЭП без их согласия. Запрета на передачу возможности подписи другому лицу в законе нет! Однако в ряде случаев регламент использования ЭП содержит такие ограничения. Может случиться так, что владелец ЭП, присоединившийся к этому регламенту и подписавший соответствующий документ, принял на себя обязательства не передавать никому возможность использования его ЭП. Так что прочтение регламентов отнюдь не бесполезная трата времени.
3. Удостоверяющий центр.Если для проверки УК-ЭП используется «сертификат ключа проверки электронной подписи» (в случае УК-ЭП это обязательно), то ключ ЭП, сертификат ключа, средства создания и работы с ЭП выдает специальная организация «Удостоверяющий центр» (ч.1 ст. 13). В этой же ст. 13 регламентируется деятельность удостоверяющих центров. Если же есть необходимость работы с УК-ЭП, то в этом потребуется помощь аккредитованного удостоверяющего центра. Аккредитация таких центров осуществляется уполномоченным на то федеральным органом (ст. 16). Этим органом является Минкомсвязь России.
ЭП юридических и физических лиц.Законом никак не ограничивается выдача ЭП физическим или юридическим лицам. Различия лишь в том, что при выдаче ЭП фиксируется разная информация, используемая для идентификации лица. Если усиленная ЭП выдается юридическому лицу, она оформляется на определенное физическое лицо и выдается ему лично или через законных представителей. В некоторых ситуациях предусмотрена и возможность выдачи сертификата электронной подписи юридическому лицу без указания физического лица (ч. 3 ст. 14). Это допускается, например, при использовании ЭП в информационной системе при оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций. Однако закон устанавливает, что при этом юридическое лицо должно своим распорядительным актом определить того, кто будет работать с этой подписью.
Источник: журнал "Госзаказ", № 43 – 2016.