Библиотека Интернет Индустрии I2R.ru

"В начале февраля в правительство был передан проект закона "Об электронной цифровой подписи", разработанный под эгидой министерства связи РФ. Вслед за этим была правительством была инициирована процедура обсуждения этого закона с большинством заинтересованных организаций. На прошедшей неделе 21 февраля законопроект обсуждался в ассоциации Российских банков (АРБ), до момента внесения закон широко обсуждался на конференциях РусКрипто 99 и РусКрипто 2000, проведенных Российской криптологической ассоциацией РКА. Эта статья призвана осветить проблемы, связанные с разработкой и принятием этого закона, а также мнения специалистов. Ознакомиться с текстом законопроекта и официальными предложениями по его изменению можно на сайте http://www.isn.ru/zakon.

Также обсуждение законопроекта проводится на сайте www.libertarium.ru."

Так начиналась моя статья в марте 2000. Парадоксально, но тем не менее это реальность, что точно также можно было бы начать статью сегодня. Правда, результат несколько иной, правительство сочло возможным одобрить внесенный вариант.

Больше законов хороших и разных

Необходимость закона о цифровой подписи сегодня не подвергается сомнению большинством экспертов и в этом они едины. На первый взгляд может показаться, что существующих нормативных документов вполне достаточно для регулирования всех вопросов связанных с использованием технологии цифровой подписи, однако это не так. Дело заключается в том, что сегодня практически все используемые системы цифровой подписи суть системы корпоративные, будь то системы типа клиент-банк, системы межбанковских расчетов или системы электронного документооборота. И неотъемлемым условием юридической значимости цифровой подписи в этих системах является заключение предварительного бумажного соглашения о использовании цифровой подписи. С другой стороны стремительная информатизация общества приводит к необходимости иметь механизм использования цифровой подписи без предварительного контакта сторон. Такая технология имеется и называется технологией цифровой подписи с сертификатом (ни в коем случае не путайте эту технологию с т.н. сертифицированными системами цифровой подписи, которые таковыми не являются). Эта технология специфицирована международной рекомендацией X.509 и сегодня реализуется различными Российскими производителями, наиболее известными из которых являются компании "ЛАН Крипто" и "Сигнал-Ком". Суть ее состоит в том, что специальная организация, называемая сертификационным или как в законе регистрационным центром, заверяет своей подписью образцы подписей всех обратившихся к ней лиц. Далее для проверки подписи сначала удостоверяются в том, что имеется заверенный сертификационным центром образец подписи лица утверждающего, что подпись сформирована им, а затем с помощью этого образца проверяется подпись. Для придания юридической силы этой технологии и разработан этот законопроект.

Вообще говоря законопроектов несколько. Первый - уже упомянутый разработан группой под руководством Г. Артамонова - заместителя директора ВНИИПВТИ, в которой главную роль играли специалисты ФАПСИ. Официальное участие министерства связи объясняется тем, что ФАПСИ не имеет законодательной инициативы и таким образом с одной стороны скрывает свою причастность к разработке, с другой - имеет возможность через министерство связи лоббировать его. Второй законопроект подготовлен институтом государства и права в качестве модельного закона для стран СНГ, кроме этого возможно его внесение в государственную думу в качестве альтернативного варианта к первому закону. Третий внесен комитетом ГД РФ по банковскому законодательству. Четвертый входит в состав законопроекта "Об электронных сделках" - внесен комитетом ГД РФ по экономической политике.

Функции закона -запрещать или разрешать?

К сожалению, как отмечают специалисты именно правительственный закон не только не лишен недостатков, но и зачастую просто содержит абсурдные положения, причем не только юридические, но и логические. Во первых: закон подразумевают участие в технологическом процессе по использованию цифровой подписи некоего "уполномоченного органа", который осуществляет лицензирование деятельности регистрационных центров (т.е. лиц или организаций осуществляющих выдачу сертификатов подписи, а также их учет и хранение), лицензирование и сертификацию (здесь уже имеется в виду государственная система сертификации, а не сертификация подписи) разработок. Кроме того в законе предполагается создание некоего главного регистрационного центра (естественно государственного), который будет выдавать сертификаты на подпись регистрационных центров. Эта и другие встречающиеся по тексту законопроекта странные конструкции призваны служить только одному - помочь ФАПСИ и связанным с ним коммерческим структурам монополизировать весьма перспективный рынок. В результате закон министерства связи являет собой эклектическое соединение технологической и юридической части приправленное запретительными и ограничительными статьями.

Вот что сказал по поводу закона на обсуждении в АРБ представитель Автобанка Е. Горячев " Если уж речь идет о сертификации и лицензировании, то в законе должны быть описаны однозначно толкуемые требования к системам подписи и регистрационным центрам, а сама система сертификации и лицензирования должна быть публичной и проверяемой".

Президент компании РФК И. Митричев высказался еще более категорично "Существующая система лицензирования и сертификации систем защиты информации ущербна, так как не предусматривает никакой ответственности органа выдавшего сертификат за возможный ущерб, понесенный владельцем сертифицированного средства ... Разумным представляется предусмотреть в законе альтернативные системы сертификации и лицензирования, а также сделать эту систему не принудительной, а добровольной".

Президент фирмы "ЛАН Крипто" А. Лебедев на конференции РусКрипто заметил, что формулировать законы в таком виде, "... это не только неразумно, но и вредно, так как объективно это приведет к вытеснению отечественных производителей с рынка, а в том что эту нишу займут в таком случае американцы сомневаться не приходится, об этом говорит хотя бы тот факт, что сегодня легально на рынке возможно приобретение систем подписи Microsoft, а сертификаты подписи можно получить у компании Verisign". Действительно в мире технологии подписи с сертификатом уже активно продвигаются и ограничивать их применение в России неразумно.

Жесткую позицию заняли также представители центрального банка, которые объявили законопроект несостоятельным.

О чем собственно закон

По мнению кандидата юридических наук Н. Соловяненко - сотрудницы института государства и права, члена совета директоров РусКрипто и одного из авторов модельного закона, из законопроекта министерства связи "необходимо изъять излишнюю технологичность, которая влечет за собой ущербность юридической части". Действительно попытка определить в законе термин электронный документ неудачна, дело в том, что этот термин не нужен для самого закона о цифровой подписи, в котором речь должна идти не о том что подписывается, а о том как это происходит. В этом смысле в законе достаточно ограничиться термином данные, который используется в модельном законе.

С другой стороны во всех вариантах закона по мнению некоторых специалистов необоснованно используется сам термин электронно-цифровая подпись. Об этом на конференции РусКрипто 2001 говорил В. Комисаренко - представитель ГЦБИ Белоруссии, кстати Белорусский закон о цифровой подписи уже принят и действует. Речь в законе должна идти о цифровой подписи - без приставки "электронная", как это принято во всем мире. В противном случае мы будем жестко привязаны к подписыванию только электронных данных, а это нелогично, на что указывает опыт Санкт-Петербургской компании "Комита", продвигающей технологию защиты акцизных марок с помощью цифровой подписи. В связи с этим Ассоциацией РусКрипто подготовлены предложения по изменению терминологии и переданы разработчикам законов.

Экономика должна быть экономной

Впервые вопрос о экономических последствиях введения Закона о цифровой подписи впервые затронула на конференции РусКрипто Н. Соловяненко, которая предложила дополнить закон разделами о финансовой ответственности центров регистрации, а также о риске и ущербе.. На первый взгляд предложение представляется разумным, однако оно может повлечь за собой непредсказуемые последствия Так например в законопроекте сделано это было в максимально уродливой форме.

Это одно из самых непонятных мест в законе « ...удостоверяющий центр должен располагать финансовыми средствами в 1000 раз большими, чем разовая сумма сделки, которая может быть заключена с использованием сертификата сделки». Как показывает опыт, сделка в открытой системе на 10.000 долларов не редкость, для сделок на биржевых и аукционных площадках, доступ к которым организуется через публичные системы суммы уже исчисляются сотнями тысяч, а часто и миллионами долларов. Итак, покажите мне удостоверяющий центр с капиталом в несколько миллиардов долларов (при бюджете России в 40 миллиардов).

Вывод таков: реально и в мире и в России существуют примеры электронных транзакций, чья стоимость многократно перекрывает финансовые возможности любого потенциального центра регистрации будь он частный или государственный и поэтому компенсировать возможный ущерб будет просто невозможно. С другой стороны существует огромный оборот подписанных данных вне коммерческого сектора - личная переписка, верификация программного обеспечения и т.д., и говорить здесь об ущербе просто нелогично. Это же показывает и опыт работы международных центров регистрации, не несущих материальной ответственности за возможные финансовые или иные риски пользователей. Самым логичным представляется предложение И. Митричева " .. необходимо в законе предусмотреть возможность страхования финансовых рисков связанных с использованием цифровой подписи, а механизм страхования ввести либо отдельным законом, либо дополнением к действующим". С моей точки зрения ответственность центра регистрации фактически должна соответствовать ответственности нотариуса за заверение подписи.

Другой аспект экономических последствий от введения закона затронул Е. Горячев " Хотелось бы знать, оценивались ли разработчиками законопроекта затраты связанные с переходом банков и других коммерческих структур от ныне действующей технологии к предлагаемой законом?" как выяснилось - нет. Представить себе размер затрат на смену технологий действительно сложно, тем более, что речь не идет только о замене одних средств цифровой подписи другими (эта задача с учетом огромного числа владельцев систем клиент-банк тоже трудно реализуема). Речь идет о необходимости внесения изменений в такие основополагающие законы как например гражданский кодекс или административный кодекс, о потенциальной лавине судебных исков и т.д. И если говорить об этом аспекте законов, то здесь все стороны были единодушны, законы в таком виде принимать сегодня нельзя.

Еще более категоричен был представитель ЦБ РФ А. Курило, который сказал, что "не видит острой необходимости в принятии вообще какого либо закона о цифровой подписи, так как в корпоративных системах все решено, а именно они и интересуют как ЦБ, так и прочие банки". Мнение несомненно спорное, но тем не менее отражающее позицию практически всех корпоративных клиентов, так как сегодня технология подписи с сертификатом в мире используется в основном для приложений не связанных напрямую с финансовыми операциями. Основной рынок для средств цифровой подписи с сертификатом ожидается среди частных клиентов, использующих ее для личной переписки, а также среди производителей программных продуктов для верификации продукции.

Нам такой закон не нужен. А какой?

Польза от гласного обсуждения законопроектов на мой взгляд очевидна, так как позволяет услышать мнения не только лиц и организаций лоббирующих закон, но и всех заинтересованных лиц. Хочется поблагодарить АРБ, собравшую на круглый стол представителей практически всех компаний, чьи интересы так или иначе были затронуты законопроектом. Еще более широкое обсуждение законопроектов прошло на конференциях РусКрипто. Здесь свое мнение высказывали пользователи, разработчики, продавцы, государственные структуры. Суммируя все мнения можно сказать следующее.

Закон несомненно нужен, однако такой острой необходимости его срочного принятия, о какой говорят разработчики законопроектов скорее всего нет. Отсутствие закона сегодня никак не сказывается на основного потребителя систем цифровой подписи - корпоративного клиента, который волен использовать как технологию обычной, так и сертифицированной подписи. Более того для работы регистрационных центров сегодня достаточно действующих нормативных актов. Принятие же "сырого" закона только ухудшит ситуацию и нанесет серьезный ущерб рынку информационных технологий и виртуального бизнеса. В этом смысле лучше никакого закона, чем то что предлагается.

Более всего закон нужен не потребителю, а государству, т.к. отсутствие данного закона блокирует присоединение России к влиятельным международным организациям - например ВТО. Однако, надо отдавать себе отчет, что в той же ВТО смотрят не наличие или отсутствие закона, а на его содержательную часть. Мало вероятно, что закон, созданный в интересах спецслужбы будет адекватно принят в международных институтах.

Обязательность лицензирования и получения государственных сертификатов на средства цифровой подписи и деятельность регистрационных центров не является столь необходимой, как об этом говорит ФАПСИ, пытающееся с помощью законов монополизировать рынок средств и услуг связанных с технологией цифровой подписи. В случае же введения системы лицензирования и сертификации она должна быть гласной, проверяемой и носить заявительный, а не разрешительный характер. Также должна быть предусмотрена система альтернативной сертификации, в качестве организаций, занимающихся сертификацией и лицензированием могут выступать Государственная техническая комиссия при президенте РФ, а также Госстандарт РФ (благо существуют государственные и отраслевые стандарты на ЦП).

Возлагать на центры регистрации финансовую ответственность, в дополнение к предусмотренной действующим законодательством нецелесообразно. Более разумно предусмотреть механизм страхования рисков, связанных с использованием цифровой подписи.

Закон должен быть менее нагружен технологическими терминами и определениями, а детально описывать взаимодействия (включая механизм разбора конфликтных ситуаций) всех субъектов и объектов в системах цифровой подписи с сертификатом.

Главный вывод - внесенный законопроект неудовлетворителен и работа над ним должна быть продолжена, при сохранении гласности обсуждения.