Интернационализация правового регулирования вопросов применения электронных подписей

Целью данной работы ни в коем случае не является обсуждение тех или иных технических аспектов электронных коммуникаций. Вопрос технологий - не юридический, во всяком случае, не общеюридический. Техника развивается сама по себе, право может лишь регулировать ее применение, точнее - применение результатов технического развития.

Проблемы правового регулирования отношений, связанных с электронной коммерцией*, а стало быть, и с использованием электронных подписей, связаны именно с регулированием применения технологий. Правотворческие и правоприменительные органы решают, насколько тот или иной способ документооборота надежен, как велика вероятность искажения воли стороны в электронном документе, кто обладает правом решать в каждом конкретном случае вопрос об аутентичности и на основании каких критериев. Но они не могут решать, например, как должен быть написан алгоритм встраивания электронно-цифровой подписи (ЭЦП) в тело документа, так как это зависит в основном от производительности компьютерной техники. Главное с точки зрения права - технология на тот момент, когда она применяется, должна соответствовать целям, в которых она применяется.

Само по себе применение технологий, впрочем, не составляет главную часть проблемы. Наука развивается вот уже много веков, и все ее достижения были так или иначе вписаны в общую канву законодательства. Но в некоторых случаях вопрос был осложнен тем, что его нельзя было решать автономно законодательством одного государства. Так случилось и с компьютерными сетями, которые сейчас приобрели трансграничный характер.

Следовательно, нужно было выбирать между национальными традициями законодательствования и необходимостью унификации правовых норм. Были попытки решить эту дилемму путем объявления открытых компьютерных сетей киберпространством, четвертым интернациональным пространством, наряду с Антарктикой, космосом и открытым морем (Darrel Menthe, Jurisdiction in Cyberspace: A Theory of International Spaces. Mich.Tel.Tech.L.Rev.3, April 23, 1998). Было движение за самоуправление (в основном, в сети Интернет) (J.P. Barlow. A Declaration of the Independence of Cyberspace (Feb. 1996) http://www.eff.org/pub/Publications/John_Perry_Barlow/barlow_0296.declaration). Однако общество больше всего продвинулось в вопросе унификации законодательного регулирования отношений в компьютерных сетях (в частности, электронной коммерции и применения ЭЦП) за счет работы в международных организациях.

В системе ООН работа по юридическому регулированию отношений в области электронной коммерции в основном сосредоточилась в Комиссии по международному торговому праву - UNCITRAL. Здесь было разработано два модельных закона: по электронной коммерции (MLEC, 1996) и по электронным подписям (MLES, 2000) (Тексты доступны на http://www.unictral.org/english/documents/. Нужно отметить также, что MLES еще не был одобрен самой комиссией - только соответствующей рабочей группой, следовательно, в нем возможны незначительные технические изменения). Комиссия провела громадную подготовительную работу, определила систему базовых предпосылок правового регулирования сферы электронной коммерции.

Другим международным центром разработки базовых правил регулирования электронной коммерции стало Европейское сообщество. Работа также шла в двух областях - собственно электронная коммерция и электронные подписи. Была разработана и принята Директива по электронным подписям (Directive 1999/93/EC of the European Parliament and of the council of 13 December 1999 on a Community framework for electronic signatures, adopted and dated 13 December 1999. См. http://rechten.kub.nl/simone/Eu-sig.htm), выработаны основные предложения и проект Директивы по электронной коммерции на внутреннем рынке (The Electronic Commerce Directive: COM(98) 586 final. [00/31/EC] http://www.dti.gov.uk/CII/elec/elec_com_1.html). Из-за сложного законодательного процесса в Сообществе эти директивы фактически еще не применяются в полную силу, однако законодательство стран-членов ЕС уже сейчас ориентируется на них.

Все эти акты должны быть инкорпорированы в национальное законодательство. Соответствующая законодательная работа сейчас ведется во многих странах; в некоторых, например, в Соединенном Королевстве, ФРГ, США, Канаде уже существует довольно большой массив норм в этой области. В Российской Федерации в Государственную Думу внесены два законопроекта о сделках, совершаемых при помощи электронных средств (электронных сделках) и законопроект о предоставлении электронных финансовых услуг.

Когда эти законопроекты еще только начинали создаваться, предполагалось, что они должны быть похожими хотя бы в основных подходах. Схожесть этих актов должна быть предопределена универсальностью решаемых задач, наличием модельных международных законов. Они должны были получиться похожими, так как общее правовое пространство, которое все-таки складывается в Интернете и других компьютерных сетях, должно основываться на общей или хотя бы одинаковой правовой базе, чтобы исключить неравноправие субъектов правоотношений. Но они все же оказались разными, хотя некоторые детали в них и совпадают.

Хотелось бы поподробнее остановиться на некоторых из указанных выше актов, в первую очередь - рассмотреть два модельных закона UNCITRAL. Оба они - закон об электронной коммерции 1996 и об электронных подписях 2000 г. - основной упор делают на придание юридического статуса электронным документам. Убираются юридические барьеры для использования электронных соглашений, отменяется "монополия бумажных документов".

Все это в очень общей форме отражено в ст. 6 и 7 MLEC: если закон предусматривает, что информация должна быть в письменной форме, предписание считается выполненным, когда полученная информация доступна для использования впоследствии. если закон предусматривает, что документ должен быть подписан, предписание считается выполненным, когда метод подписания позволяет (1) идентифицировать лицо, (2) установить, что оно одобрило документ, и при этом (3) надежность метода соответствует обстоятельствам и целям его применения (appropriate to circumstances).

Впрочем, данная формула действительно очень общая, так как она не устанавливает критериев оценки соответствия метода перечисленным в ней требованиям. Соответственно, и дальнейшие гарантии юридической значимости информации в электронном виде (действительность оферты, акцепта, электронных доказательств) не могли применяться. Поэтому в дальнейшем был разработан специальный Модельный закон об электронных подписях, который уточнил ряд существенных вопросов.

В сопроводительных документах, опубликованных разработчиками этого закона, очень точно определяется цель его принятия: Модельный закон может помочь в преодолении недостатков разобщенного национального регулирования, создающего препятствия международной торговле, большая часть которых связана с использованием современных средств общения. Неодинаковость и неопределенность национальных режимов регулирования электронных средств связи устанавливают границы на пути распространения деловых связей на международных рынках (Guide to enactment of MLES. См. прим. 3).

Структурно документ состоит из трех частей: (1) критерии надежности и достоверности электронной подписи, (2) обязанности сторон по правоотношению, связанному с использованием электронной подписи, (3) признание подписей других государств. Помимо этого есть некоторые общие положения, касающиеся сферы применения данного закона (коммерция в самом широком смысле этого слова), порядка восполнения пробелов регулирования (общие принципы права), а также положения, устанавливающие принцип автономии воли сторон.

Требования к электронной подписи делятся на две части. Первые конституируют само понятие электронной подписи, они полностью повторяют то, что было в MLEC (перечисляются те же три функции подписи). Вторые формулируют условия, когда конкретная подпись под конкретным документом может быть признана юридически значимой.

Во-первых, данные, представляющие собой электронную подпись, должны быть непосредственно связаны с лицом, подписавшим документ. Это означает, что подпись должна исключать неясность относительно того, кто ее поставил.

Во-вторых, подписание, в тот момент, когда оно совершалось, было подконтрольно только подписывавшему лицу. Предполагается, что лицо само, выражая свою волю, подписывает документ, и никто не может поставить его подпись без его ведома. Если кто-либо действует от имени другого лица/лиц, то применяются общие правила о представительстве.

В-третьих, любое изменение электронной подписи, сделанное после подписания, может быть выявлено. Это требование, во-первых не касается изменений подписанного документа, во-вторых, не означает, что измененная подпись утрачивает юридическую силу. Просто все изменения должны быть известны контрагенту, который уже и будет принимать решения.

В-четвертых, если по закону подпись требуется для подтверждения целостности подписанного документа, любое изменение в нем, сделанное после подписания, может быть выявлено. Это требование является стандартным для ЭЦП, т.е. подписи, сделанной с использованием средств криптографии, но не обязательно для других видов электронной подписи. Поэтому разработчики и ввели ограничительное условие применения этого требования.

Кроме того, помимо этих, правовых, требований, MLES содержит положение о том, что власти страны могут признать надежной ту или иную технологию подписания. Этим будет установлена презумпция, что все документы, подписанные с использованием этой технологии, будут иметь юридическую силу. Но тут же возникает проблема, связанная с необходимостью координации действий разных стран: "надежные технологии" одной страны могут не признаваться в другой. Унифицировать же вопросы технологий очень сложно - об этом говорилось в начале статьи. Видимо, вопрос можно было бы решить за счет сочетания общих требований к электронным подписям с "быстрым признанием" какого-либо одного их вида.

Проблема сочетания вопросов права и вопросов технологии решена в MLES способом, ставшим уже традиционным. Если обычное, "бумажное" правоотношение связано, как правило, с деятельностью двух сторон-контрагентов, то в случае с применением электронной подписи необходимо появление третьей стороны. Это должно быть некое пользующееся доверием лицо, которое могло бы удостоверить по требованию одной или обеих сторон, что подпись была совершена лицом, указанным в качестве подписавшего документ. Иными словами, третья сторона должна решать вопросы техники. В MLES она называется "сертифицирующий провайдер" (certification service provider). При этом на самом деле количество лиц в правоотношении может быть как меньше, так и больше трех. Их может быть два, если достоверность подписи может проверить сама получившая сторона; четыре и более, если функции проверки подписи разделены между несколькими лицами.

MLES устанавливает права и обязанности сторон. Основной обязанностью подписывающего является сохранение конфиденциальности информации, составляющей электронную подпись. При этом в случае утраты контроля над этой информацией он должен немедленно поставить об этом в известность сертифицирующего провайдера. Впрочем, ответственность за невыполнение этой обязанности не установлена, а следовательно, непонятно, будет ли сторона, нарушившая эту обязанность, нести ответственность за возможный ущерб (например, если кто-либо воспользуется ее подписью). Разработчики относят это на усмотрение национального законодателя.

MLES устанавливает принцип сотрудничества сторон: сертифицирующий провайдер должен уведомлять о возможных проблемах, связанных с использованием подписи; сторона, получившая подписанный документ, должна своевременно обратиться к провайдеру для проверки правильности подписи. Подпись, подтвержденная провайдером, имеет юридическую силу.

Вопрос подтверждения подлинности подписи, т.е. ее сертификация, приводит к проблеме, связанной с интернациональным характером компьютерных сетей. Будет ли подпись, сертифицированная в одном государстве, иметь юридическую силу в других? Выше уже говорилось, что MLES много даст для унификации национального законодательства, что, возможно, удастся решить вопросы технологии, но одинаковое законодательство не означает одинаковой правоприменительной практики. Модельный закон, решая эту проблему, устанавливает общее правило: иностранная подпись должна быть признана в стране получателя подписанного документа.

Главным основанием сертификации является сходство методов создания подписи. Подпись зарубежного происхождения должна иметь то же юридическое значение, что и национальная, если технологии подписания "эквивалентны по существу" (substantially equivalent). Модельный закон также устанавливает некоторые общие критерии определения схожести этих технологий. Впрочем, процедура признания юридической силы за иностранными подписями прописана не очень ясно, что снижает ее эффективность и в дальнейшем, скорее всего, будет затруднять международную торговлю.

Другим центром международной законодательной работы в области электронной коммерции и регулирования использования электронных подписей стало Европейское Сообщество, точнее, органы, входящие в систему Еврокомиссии. Как уже говорилось выше, Директиве по электронным подписям уже была придана юридическая сила, остальные тексты уже довольно давно согласованы, хотя все они пока что еще не действуют в полную силу (См., напр. Common Position EC № 28/1999; adopted by the council on 28 June 1999, with a view to adopting Directive 1999/000/EC of the European Parliament and of the Council. 1999/C 243/02).

Директива по электронным подписям по содержанию во многом напоминает MLES, однако структура их несколько отличается. Если в MLES основное внимание обращается на проблемы действительности подписи и права и обязанности сторон, то Директива стремится прежде всего создать организационный аппарат по работе с электронными подписями, установить рамки для работы этого аппарата.

Само понятие электронной подписи в Директиве разбивается на два. Выделяется простая электронная подпись, т.е. некоторая прикрепленная информация, которая служит целям аутентификации, а также усиленная (advanced). Последняя характеризуется четырьмя признаками, которые уже были описаны применительно к MLES. Различие между ними проводится довольно последовательно, например, устанавливаются разные процедуры их признания, если они сделаны за границей.

Юридическая сила подписи ставится, как это было и в MLES, в зависимость от признания ее самой, а также механизма, с помощью которого она была выработана, сертифицирующим провайдером. Статья 5 устанавливает следующее: усиленная электронная подпись, прошедшая сертификацию, выработанная при помощи безопасного (secure) механизма, имеет ту же силу, что и собственноручная подпись, и может быть признана в качестве доказательства. Впрочем, это не означает, что не сертифицированные подписи не могут признаваться сторонами.

Государства-члены ЕС должны создать систему сертифицирующих провайдеров. Сама процедура их создания отнесена на усмотрение государств, однако, во-первых, устанавливаются принципы недискриминации по территориальному признаку и невозможности ограничения числа провайдеров; во-вторых, устанавливаются общие права и обязанности, а главное, ответственность провайдеров. Провайдеры должны гарантировать действенность электронных подписей, в противном случае они отвечают за возможные убытки. Добавляется также отдельная статья, касающаяся охраны информации, составляющей личную тайну - ст.8. Предусматривается, что провайдер может собирать сведения о лице лишь постольку, поскольку это необходимо для сертификации. В других целях информация может собираться только с прямо выраженного согласия лица.

Помимо системы сертифицирующих провайдеров, Директива предусматривает создание органа межгосударственного контроля - Комитета по электронным подписям при Еврокомиссии. Он наделяется совещательными полномочиями и должен разрабатывать проекты решений Комиссии о принятии мер в области применения электронных подписей.

Решение вопроса о признании электронных подписей, сделанных за границей, отличается от предложенного MLES. Если там вопрос решался сертифицирующим провайдером на основе принципа эквивалентности технологий подписания по существу, то в Директиве устанавливается закрытый перечень случаев, когда признание иностранной электронной подписи возможно.

Во-первых, на взаимной основе признаются подписи, сделанные в государствах-членах ЕС, поскольку они основываются на общих требованиях Директивы.

Во-вторых, если подпись сделана в государстве, не являющемся членом ЕС, но при этом соответствует требованиям Директивы, она может быть признана в государстве-члене ЕС. В этом случае государство может устанавливать свои дополнительные требования к подписям.

В-третьих, о признании подписей могут заключаться двусторонние и многосторонние соглашения между государствами. За Еврокомиссией при этом оставляется право регулировать вопросы унификации технических стандартов, принятия иных оперативных мер, необходимых для устранения необоснованных препятствий в международной торговле.

Если сравнивать два документа двух международных организаций - MLES UNCITRAL и Директиву об электронных подписях ЕС, можно обнаружить разницу в подходах к регулированию. Да, они одинаково определяют понятие электронной подписи, создают одинаковую структуру правоотношения отправитель - получатель - провайдер. Но при этом подход Директивы более точный и более жесткий. Устанавливаются права, обязанности, ответственность сторон, критерии признания подписи обретают характер замкнутого перечня, делается упор на сертификацию подписей, хоть она и не является обязательной. Это ведет к унификации внутри Сообщества, но осложняет взаимодействие с другими государствами. Приняв директиву об использовании электронных подписей, ЕС не смог решить задачу включения своего информационно-правового пространства в общемировое.

Некоторые государства-члены ЕС пошли еще дальше по пути специализации национального законодательства. Например, германский Акт об электронных цифровых подписях (Часть третья Акта об информации и коммуникации - Informations- und Kommunikationsdienste-Gesetz - IuKDG 13.06.1997-1.08.1997 См. http://www.iid.de/rahmen/iukdgebt.html) вообще не касается вопросов применения документов, подписанных ЭЦП, а также вопросов юридического признания цифровой подписи. В §1 Акта указывается сфера действия закона: во-первых, он касается только электронно-цифровых, а не всех электронных подписей; во-вторых, он устанавливает только требования к надежности и безопасности технологий подписания и самих подписей. Тех общих положений, которые были в MLES и в директиве об электронных подписях, в Акте нет. Соответственно, документы, подписанные электронной, или хотя бы электронно-цифровой подписью, здесь не приравнены законодательно к письменным и к собственноручно подписанным.

Впрочем, во-первых, данные положения и так уже содержатся в Директиве ЕС об электронных подписях, во-вторых, немецкое правительство все-таки подготавливает проекты документов, необходимых для уравнивания электронных документов с бумажными. Например, весной прошлого года в министерстве экономики и технологии была подготовлена программа законодательной деятельности (Federal Ministry of Economics and Technology, Act establishing a framework for electronic signatures (Signature Act). Key points of a draft law (April 2000). См. http://www.sicherheitim-internet.de/download/SigGEckpunkte_eng.pdf), где одним из пунктов является внесение изменений в Гражданское уложение с целью признания "электронной формы" подписи)).

Большой интерес вызывает также документ, называющийся "Официальная позиция Германского Правительства по международному признанию электронных цифровых подписей" (German Government Position Paper on the International Recognition of Digital Signatures. Документ доступен в английском переводе Кристофера Кюнера на странице http://www.kuner.com/data/sig/gov_digsig_recognition.html). Он не является официальным нормативно-правовым актом, однако позволяет "суммировать" действия германского правительства и определить его общую позицию. Во-первых, для Германии на первом месте стоит надежность и безопасность подписей. Это просматривается еще в Акте об электронных цифровых подписях: сначала нужно создать систему сертификации подписей, а потом уже вести работу по уравниванию электронных цифровых подписей с собственноручными.

Во-вторых, приоритетом является не bona fide сторон, а государственный контроль за использованием подписей. Соответственно, и признание подписей возможно лишь в условиях жесткой бюрократической системы их сертификации.

В-третьих, в этом случае германское правительство не может допустить признания иностранных подписей, не отвечающих внутренним стандартам: большая "дыра в границе" сделала бы бессмысленной жесткую внутреннюю сертификацию. Собственно говоря, это и отражено в п.1 §15 Акта об электронных цифровых подписях ("ЭЦП, достоверность которой может быть проверена при помощи открытого ключа, сертифицированного в <другом государстве>, может быть признана эквивалентной ЭЦП по настоящему Акту, если она имеет тот же уровень безопасности").

Подобная жесткость регулирования создает подобие железного занавеса вокруг Германии, фактически исключая ее участие в международной электронной коммерции. Преодолеть этот барьер будет возможно только в том случае, если немецкие стандарты электронных подписей станут общими, что маловероятно. Получается, что данный подход к регулированию использования электронных подписей исключил возможность решения главной задачи внедрения электронных подписей - интернационализации электронной коммерции.

Впрочем, "жесткий" подход к регулированию вопросов электронной коммерции и применения электронных подписей характерен не для всех стран-членов ЕС. Например, в Соединенном Королевстве Акт об электронных коммуникациях (Electronic Communication Act 2000. Cм. http://www.legislation.hmso.gov.uk/acts/acts2000/20000007.htm) устанавливает подход к использованию электронных подписей, близкий к подходу MLES, что, однако, не исключает его полной согласованности с директивами ЕС.

Впрочем, нельзя забывать про специфику английской правовой системы. Хотя практика еще не успела создать массив прецедентов, непосредственно связанных с использованием электронных подписей, в смежных сферах сложились определенные традиции, которые нельзя было нарушать (например, практика, связанная с использованием телеграфа и почтовой связи). Правительство смогло урегулировать нетрадиционные вопросы - электронные подписи - нетрадиционным, в общем-то, способом - законом. Но оно не смогло бы "огородить" электронную коммерцию от всей остальной, как это попытались сделать в Германии: практика создала бы прецеденты в обход Акта.

Сам Акт структурно не напоминает те, которые рассматривались ранее. Английское право существует в процессе, а следовательно, юридическое значение электронной подписи придается через признание ее в качестве доказательства аутентичности и целостности информации во всех процессуальных действиях. При этом признается как сама подпись, так и ее сертификат.

Акт не вводит обязательной сертификации подписей. Кроме того, упрощен механизм сертификации: конкретная электронная подпись признается сертифицированной, если любое лицо (независимо, до или после передачи информации), подтвердит, что подпись, механизм ее создания передачи или подтверждения является достаточным средством для проверки аутентичности и целостности информации (С весны 1998 года такая деятельность в Соединенном Королевстве ведется компанией VeriSign с использованием стандартов VTN). Соответственно, должна быть предусмотрена ответственность авторизовавшего лица за возможные неблагоприятные последствия.