«Подводные камни» простой электронной подписи

Поводом для написания данной статьи стали многочисленные обсуждения, происходившие между заинтересованными лицами при реализации проектов, включающие функциональность простой электронной подписи (ПЭП). Понятие ПЭП оказалось размытым, количество интерпретаций о том, как подписывать документы ПЭП, было кратно количеству заинтересованных лиц. Статья преследует цель систематизации решений, применяемых в информационных системах для подписания документов ПЭП, с точки зрения действующего законодательства.

Личная собственноручная подпись

Исторически сложилось так, что в российском законодательстве нет определения личной собственноручной подписи. Этот вопрос разбирается в большом количестве юридической литературы, и общепринятым толкованием термина «личная собственноручная подпись» является следующее:

Подпись — уникальная совокупность символов, написанных от руки с помощью специальных оформительских приемов (монограмма, росчерки, штрихи), служащая для определения правоспособности физического лица.

Под правоспособностью, согласно статье 17 ГК РФ, понимается способность человека иметь гражданские права и нести обязанности с момента рождения до момента смерти. Процесс определения правоспособности получил название «идентификации личности» и происходит через сопоставление человека и набора уникальных характеристик или признаков, присущих данному человеку. К минимально возможному набору таких характеристик, согласно статьям 19 и 20 ГК РФ, относятся имя человека, фамилия человека, и место, где человек преимущественно находится или проживает (место жительства). Если перейти от нормативных понятий к техническим архитектурным понятиям, под идентификацией личности понимается сопоставление внешнего образа человека, сохраненного на некотором устройстве памяти, его имени, фамилии, выраженное в некоторой знаковой системе и месту жительства, выраженное в некоторой системе координат. Физическая архитектура такого сопоставления может быть самой разнообразной. В качестве устройства памяти может выступать как мозг, так и применяться технические средства, например, бумажные (рисунок, фотография) или электронные. В качестве знаковой системы могут выступать речь (система звуков) или письменность. В качестве системы координат могут применяться географическая система координат или нормативная (административно-территориальное деление). Таким образом, суммируя все факты, исторически присущие подписи, можно дать следующее определение подписи:

Подпись — уникальная совокупность символов, позволяющая сопоставить человека или внешний образ человека и набор признаков, присущих только этому человеку, в целях контроля соблюдения прав или выполнения обязанностей, определенных подписанным документом. Минимальным набором уникальных признаков, позволяющим определить права и обязанности личности, является имя, фамилия человека и его место жительства.

Связь подписи с правами и обязанностями личности практически неразрывная. Например, через подпись, в целях подтверждения авторства документа, приобретаются права на данный документ, а также обязанность не допускать плагиата. В ряде случаев права и обязанности прописаны в самом документе, например, в документе, удостоверяющем совершение сделок. Перефразируя известный афоризм, можно сказать, что: «Говорим подпись, подразумеваем права и обязанности, говорим права и обязанности, подразумеваем подпись». Права и обязанности через подпись приобретаются как напрямую, так и опосредствованно, через подпись другого человека, в случаях, предусмотренных законодательством. Например, права и обязанности приобретаются через подпись родителей, опекунов и попечителей, через подпись доверенных лиц.

Электронная подпись

Нормативным документом, в котором приводится определение электронной подписи(ЭП), является Федеральный Закон "№ 63 от 06.04.2011 «Об электронной подписи" (далее ФЗ-63). В статье 2 ФЗ-63 рассматриваемое понятие определяется так:

Электронная подпись — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Из данного определения вытекает, и в статье 6 ФЗ-63 нормативно зафиксировано, что ЭП является аналогом личной собственноручной подписи, так как главная цель у обеих типов подписей одна — определение лица, подписывающего информацию. Идентификация личности — очень важный момент для юридической значимости ЭП. Полную гарантию достоверного определения лица не дает ни один из видов ЭП, но, в случае неквалифицированной и квалифицированной ЭП, человек лично посещает специальное учреждение — Удостоверяющий Центр (УЦ), аккредитованное государством и уполномоченное для выдачи(замены) ЭП. В случае ПЭП, об обязательности достоверной идентификации личности при выдаче(замене) ЭП часто забывают или способ определения лица вызывает много споров в технической реализации. ФЗ-63, в статье 5 пункт 2, подчеркивая важность идентификации личности, дает следующее определение простой электронной подписи:

Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Кода, пароли или иные средства, являющиеся элементами ПЭП, имеют обобщающее название — ключи ПЭП. Ключи ПЭП могут иметь публичную и конфиденциальную части. Например, при использовании в техническом решении идентификации личности личного электронного почтового ящика, адрес почтового ящика будет открытой частью ключа, а пароль к нему — закрытой, конфиденциальной частью. ФЗ-63 обязывает строго соблюдать конфиденциальность непубличных ключей ПЭП, так как компрометация приводит к потере юридической значимости.

Возвращаясь к определению подписи, которое было дано в предыдущих абзацах, мы можем расширить определение ПЭП, раскрыв значение термина «определенное лицо»:

Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств устанавливает связь человека, подписывающего информацию, с набором признаков, присущих только этому человеку, в целях контроля соблюдения прав или выполнения обязанностей, определенных подписанным документом. Минимальным набором уникальных признаков, позволяющим определить права и обязанности личности, является имя, фамилия человека и его место жительства.

Основным и практически единственным способом юридического сопоставления человека с набором признаков, присущих данному человеку, является предъявление оригинала удостоверяющего документа, в качестве которого применяется выданное государственными органами удостоверение личности (УЛ). Удостоверение личности содержит фотографию, фамилию и имя, а также указание на место жительства, т.е. весь необходимый набор признаков, установленный законодательством для идентификации. Правила выдачи такого удостоверения всегда предписывают его получение лично владельцем и никем иным и этот факт является юридически значимым: во время выдачи удостоверения установлена связь между человеком, его фотографией, его именем и фамилией, и его местом жительства. Следовательно, задача придания ПЭП юридической значимости сводится к задаче определения связи между государственным УЛ и ключами ПЭП. ФЗ-63, в статье 9 пункт 2, подчеркивает важность определения такой связи, обязывая прописывать правила определения лица, подписывающего электронный документ, в соглашениях о признании электронных документов.

«Подводные камни» простой электронной подписи

Все информационные системы (ИС) можно разделить на публичные и закрытые, рассматривая круг пользователей, имеющих возможность создания или отправки электронных документов. Если, для доступа к ИС, человек обязан пройти процедуру проверки оригинала УЛ, то такая ИС будет закрытой, доступ к которой имеет строго определенный круг лиц. ИС, доступ к которой имеет неопределенный круг лиц, не прошедших процедуру проверки УЛ, будет публичной. К закрытым ИС относятся все корпоративные ИС, так как человек, получивший к ней доступ, прошел процедуру оформления на рабочем месте с предъявлением документов и заключением трудового договора.

Рассмотрим основные способы подписания документов ПЭП, сложившиеся в российских реалиях.

Первым способом является заключение соглашения о том, что стороны признают документы, отправленные с электронного почтового ящика, подписанными ПЭП. В этом случае открытым ключом является адрес электронной почты, конфиденциальным ключом — пароль к электронному почтовому ящику. Юридически значимой такая ПЭП будет при соблюдении следующего условий:

1. Почтовый сервис является закрытым, т.е. доступ к нему имеет строго определенный круг лиц, прошедших процедуру проверки оригинала удостоверения личности;
2. Открытый ключ ПЭП содержится в передаваемом документе (ФЗ-63, статья 9 п.1);
3. Пароль к почтовому ящику строго конфиденциален, известен только единственному, определенному лицу, прошедшему процедуру проверки оригинала УЛ перед получением пароля (ключа ПЭП) и это зафиксировано в соглашении (ФЗ-63, статья 9, п.2);

При использовании корпоративной электронной почты обычно соблюдаются все эти условия, т.к. корпоративная почта относится к закрытым ИС, адрес почтового ящика отправителя содержится в передаваемом сообщении, пароль к корпоративному личному почтовому ящику известен только строго определенному лицу. В противоположность этому, использование публичных почтовых сервисов, предоставляющих услуги электронной почты неопределенному кругу лиц, нивелирует юридическую значимость такой ПЭП.

Вторым способом подписания документов ПЭП является заключения соглашения о том, что документ, созданный в некоторой информационной системе, является подписанным ПЭП пользователя учетной записи. В качестве публичной части ключа здесь выступает логин к учетной записи, в качестве конфиденциальной — пароль к учетной записи. Способ получил очень широкое распространение и самое разнообразное применение. Такую ПЭП используют различные интернет-сервисы, в том числе интернет-банки, многие участники фондового рынка, такой способ используется на федеральном и региональных порталах государственных услуг. Кроме того, такой способ используется внутри организаций для придания юридической ответственности исполнителям, при постановке задач в внутрикорпоративной системе контроля исполнительской дисциплины. Перевод статусов задач в такой системе означает подписание ПЭП своих обязательств по выполнению задачи и штрафные санкции за их неисполнение, если это обговорено в трудовом договоре. Юридически значимой такая ПЭП будет при выполнении следующих условий:

1. Соглашением установлена однозначная, и не допускающая толкований, связь публичной части ключа ПЭП(логина) с УЛ пользователя учетной записи;
2. Закрытая часть ключа ПЭП строго конфиденциальна и это зафиксировано в соглашении;

Исходя из этих условий, вытекает способ получения логина и пароля учетной записи. Обязательно, явно или неявно, при получении логин/пароля должна присутствовать процедура проверки оригинала УЛ. Наиболее простой путь проверить оригинал УЛ, это обязать будущего пользователя ИС произвести личный визит в уполномоченное учреждение и предъявить оригинал УЛ. Так поступают все государственные организации и большинство банковских учреждений. Получить учетную запись в государственной единой системе идентификации и аутентификации (ЕСИА) можно только личным визитом в уполномоченное учреждение, будь то Удостоверяющий Центр, Центр Ростелекома, Многофункциональный Центр(МФЦ) или Почта России. В качестве логина используется СНИЛС, имеющий однозначную связь с человеком и с его УЛ. Внедрение в своих ИС функционала аутентификации, посредством интеграции с ЕСИА, фактически означает выдачу пользователю юридически значимой ПЭП, так как соблюдаются все требования законодательства. А вот удаленная выдача логина/пароля учетной записи, без личного визита, так, чтобы логин/пароль получил статус юридически значимой ПЭП, представляет собой определенные сложности. Нет простого способа проверить данные, которые удаленно вводит пользователь при регистрации в ИС, на достоверность. Инфраструктура удаленной идентификации в нашей стране пока находится в зачаточном состоянии и, по сути, только ЕСИА решает эту задачу. Если нет интеграции с ЕСИА или интеграции с государственной информационной системой межведомственного электронного взаимодействия (СМЭВ), электронные сервисы которой позволяют сопоставить СНИЛС или серийный номер паспорта с фамилией и именем, то удаленно получить юридически значимую ПЭП довольно трудоемко. Одним из возможных технических решений является усложнение процедуры подписания ПЭП дополнительным подтверждающим кодом, высылаемым на почтовый ящик, расположенный на закрытом сервисе. В этом случае, как было рассмотрено выше при описании первого способа подписания ПЭП, появляются такие ключи ПЭП,, как адрес закрытого почтового ящика и конфиденциальный пароль к нему. Полная ПЭП будет состоять из пяти ключей: логин учетной записи, пароль учетной записи, код подтверждения, адрес почтового ящика, пароль почтового ящика, где два ключа — пароль учетной записи и пароль почтового ящика — являются конфиденциальными. Связь ПЭП с оригиналом УЛ проходит через процедуру получения адреса и пароля к почтовому ящику в закрытом сервисе. Все эти моменты лучше прописать в соглашении, как требует ФЗ-63.

В последнее время в качестве ключа ПЭП стали использовать код подтверждения, высылаемый в виде SMS на номер телефона. Необходимо понимать, что ключом ПЭП, в данном случае, является не столько код, а именно номер телефона, как один из признаков, принадлежащих определенному человеку. Юридическая значимость такого способа подписания ПЭП сильно зависит от того, какой из ключей устанавливает связь с оригиналом УЛ. Если, кроме номера телефона, есть еще ключ, в котором фиксируется такая связь, то добавление еще одного ключа просто создает вариант некоторой усиленной ПЭП. Если подразумевается, что именно номер телефона и устанавливает такую связь, то юридическая значимость ПЭП сильно зависит от способа установления связи. Удаленная проверка номера телефона в связке с УЛ малореальная, только личный визит может гарантировать достоверность такой проверки. Учитывая этот момент, было принято Постановление Правительства РФ от 13.08.2016 N 789, в котором были внесены изменения в «Правила использования простой электронной подписи при оказании государственных и муниципальных услуг» (далее – Правила). В пункт 4 Правил было добавлено условие:

В случае применения абонентского устройства подвижной радиотелефонной связи для использования простой электронной подписи абонентский номер устройства подвижной радиотелефонной связи должен быть подтвержден пользователем в соответствующем регистре федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме.

Правила, в пункте 16(1), устанавливают порядок такого подтверждения:

При явке заявителя на личный прием создание (замена) и выдача ключа простой электронной подписи на основании письменного заявления осуществляются оператором выдачи ключа после получения от заявителя — физического лица ответа, направляемого с использованием абонентского устройства подвижной радиотелефонной связи, на запрос, направляемый оператором единой системы идентификации и аутентификации в соответствии с требованиями, устанавливаемыми Министерством связи и массовых коммуникаций Российской Федерации, на абонентский номер устройства подвижной радиотелефонной связи, указанный в заявлении на выдачу простой электронной подписи, поданном оператору выдачи ключа.

Иного способа, кроме как личным визитом доказать связь между номером телефона и УЛ, государство не предусматривает. Если информационная система интегрирована с ЕСИА, можно использовать сведения о телефоне, содержащиеся в ЕСИА и такая ПЭП будет юридически значима. Если возможности интегрироваться с ЕСИА нет, то, при использовании номера телефона в качестве единственного ключа ПЭП, для придания юридической значимости, соглашение должно предусматривать способ установления связи между номером телефона и оригиналом УЛ.

Соглашение о признании электронных документов, подписанных ПЭП, которое ФЗ-63 обязует заключить между участниками электронного документооборота, стоит рассмотреть отдельно. Выше, рассматривая различные виды ПЭП, мы определили основные требования к такому соглашению, но достаточно дискуссионным является вопрос процедуры заключения соглашения, так как его некорректно подписывать ПЭП. Решение данного вопроса зависит от технических решений, применяемых в конкретной ИС. Общепринятыми являются два варианта:

Первый вариант заключения соглашения – личная собственноручная подпись сторон. Такой вариант стоит выбирать, если для выдачи ключей ПЭП (проверки оригиналов удостоверения личности) предусматривается личная встреча сторон.

Второй вариант заключения соглашения – договор присоединения, согласно статьи 428 ГК РФ. Это удобно для взаимодействия граждан с различными организациями через Интернет. Вариант юридически допустим, так как ФЗ-63 не требует идентификации личности при заключении соглашения о признании электронных документов, подписанных ПЭП. Публичный характер договора присоединения закрепляет факт, что организация признает документы, подписанные любым физическим лицом с использованием ПЭП, если ПЭП физического лица будет удовлетворять условиям, перечисленным в соглашении. Обратное признание, т.е. признание физическим лицом ПЭП сотрудника организации, обычно не требуется, так как, в подавляющем большинстве случаев, организации подписывают документы, отправляемые физическим лицам, с использованием квалифицированной электронной подписи. Это диктуется тем, что юридическим лицам, кроме юридической значимости подписи, важно также гарантировать неизменность документа после подписания.

Эпилог

Инфраструктура открытых ключей, которую необходимо разворачивать при использовании неквалифицированной и квалифицированной электронной подписи, сложна в практическом использовании для большинства людей, чьи интересы лежат вне сферы IT. Простая электронная подпись – это довольно удобная альтернатива инфраструктуре открытых ключей, главным образом, для физических лиц, а также во внутреннем электронном документообороте между сотрудниками организации. Но, как и в любом процессе, в процедуре подписания ПЭП существуют некоторые нюансы. Надеюсь, эта статья поможет всем заинтересованным лицам увидеть эти подводные камни, и учесть их в проектировании инфраструктуры электронной подписи.

Ссылки на источники:

Автор: Irkin

Источник