Размещено на http://www.allbest.ru/

Проблеми гармонізації термінології у сфері електронного підпису

Мисишин Леся Романівна

Аспірант кафедри цивільного

права та процесу ЛНУ ім. І. Франка

У статті розглянуто термінологію, що використовується у сфері електронного підпису в міжнародних актах та законодавстві України, проведено її розмежування та проаналізовано концепцію гармонізації термінології, що використовується в законодавстві України, з термінологією, що використовується у відповідних міжнародних актах.

Ключові слова: електронний підпис, цифровий підпис, електронний цифровий підпис, удосконалений електронний підпис.

Сучасний стан правового регулювання електронної комерції потребує детального аналізу термінів, що вживаються в різноманітних міжнародних правових актах та законодавстві України. Так, поняття електронного підпису, що є основоположною категорією електронної комерції, безперечно одержало різні трактування в міжнародних правових актах, правових актах України та правовій доктрині, що не узгоджуються між собою та потребують додаткового аналізу для їх правильного розуміння та застосування. 4 квітня 2013 року наказом Міністерства юстиції України була затверджена Концепція реформування законодавства у сфері використання інфраструктури відкритих ключів та надання електронних довірчих послуг, прийняття якої зумовлене зокрема: недостатністю рівня гармонізації термінології, що використовується в нормативно-правових актах, які регулюють сферу інфраструктури відкритих ключів та надання послуг з використанням електронного цифрового підпису, з термінологією, що використовується у відповідних міжнародних актах. У даній статті зосереджено увагу на співвідношенні термінів «електронний підпис», «цифровий підпис», «електронний цифровий підпис» та «удосконалений електронний підпис».

Дані проблеми досліджували А.В. Чучковська, Р.В. Халіков, а також автори коментаря до Закону України «Про електронний цифровий підпис» - АМВ Group, групи-лідера по введенню засобів електронного підпису в Україні.

Вперше на рівні міжнародних актів регулювання електронного підпису було здійснено Типовим Законом ЮНСІТРАЛ «Про електронні підписи», що містить розгорнуту інструкцію до даного закону. Даний акт Комісії ООН з міжнародної торгівлі, як і інші її акти не несуть правозобов'язуючого характеру, однак є авторитетними для держав та міждержавних об'єднань. Саме Інструкція до Типового Закону детально розглядає наступні терміни: «електронний підпис», «цифровий підпис». Так, в Інструкції вказано, що поряд з «цифровими підписами», заснованими на криптографії з використанням публічних ключів, існують різні інші засоби, які також охоплюються широкою концепцією механізмів «електронного підпису» і які можуть використовуватися в даний час або розглядатися для використання в майбутньому з метою виконання функцій власноручних підписів. Наприклад, деякі методи припускають посвідчення автентичності за допомогою біометричних пристроїв, заснованих на власноручних підписах. При використанні такого пристрою особа, що підписує, проставляє свій підпис власноручно за допомогою спеціальної ручки або на екрані комп'ютера, або на планшеті. Такий власноручний підпис потім аналізується комп'ютером і зберігається у вигляді набору числових величин, які можуть бути прикладеними до повідомлення даних і відтвореними належною стороною з метою посвідчення автентичності. Дана система посвідчення автентичності припускає, що зразки власноручного підпису були раніше проаналізовані біометричним пристроєм і зберігаються в ньому. До числа інших технологій належить використання персональних ідентифікаційних номерів (ПІН), власноручних підписів у цифровій формі й інших методів, таких як натискання на клавішу "ОК" [2].

Таким чином, згідно з Типовим Законом ЮНСІТРАЛ, поняття «електронного підпису» включає в себе цифровий підпис, заснований на криптографії та з використанням публічних ключів. При здійсненні електронного підпису можуть застосовуватися і інші методи, зазначені, зокрема, в «Інструкції по прийняттю Типового закону ЮНСІТРАЛ про електронні підписи». Слід наголосити, що сам перелік даних методів не є обмеженим і залежить від наукового розвитку у сфері електронних технологій.

Наприклад, в Україні винайдений спосіб посвідчення особи при підписанні електронних документів, який в кінці минулого року зареєстрував Укрпатент. Спосіб включає підготовку і підписання уповноваженою особою паперового документа, а також створення його електронної копії з цифровим підписом. На місце підпису накладається електронне зображення відсканованого відбитку пальця, яке вилучається з бази даних відбитків - дактилокарти. Підготовлений електронний документ зберігається у вихідних листах і відправляється на певну адресу. Одержувач порівнює зображення відбитка пальця з відповідним електронним зображенням з власної бази даних [3].

ЮНСІТРАЛ закріпила ліберальний підхід до регуляції електронного підпису та прагнула виробити такі одноманітні законодавчі положення, які сприяли б використанню як цифрових підписів, так і електронних підписів в інших формах. У будь-якому випадку, згідно з принципом нейтральності Типового закону ЮНСІТРАЛ «Про електронні підписи» по відношенню до носіїв інформації, Типовий закон не повинен тлумачитися як перешкоджаючий застосуванню будь-яких інших методів електронного підпису, які вже існують або можуть з'явитися в майбутньому.

Подібний спосіб регуляції та підхід до розмежування методів електронного підпису використовується у Федеральному законі США «Про електронні підписи в глобальній і національній комерції» (The Electronic Signatures in Global and National Commerce Act), що був прийнятий 30 червня 2000 року. Під електронним підписом згідно з законом США розуміється електронний звук, символ або процес, що приєднується або логічно асоційований з договором чи іншим записом і здійснюється або допускається особою з наміром підписати документ [8].

У Сполучених Штатах мають місце три категорії електронного підпису: простий, захищений і цифровий (Common, Secure, Digital). Дане розмежування не є жорстким, але відображає кваліфікуючі відмінності у доказової силі підпису, її відносної вартості та процедурі створення [9].

Простий електронний підпис не має жорсткої прив'язки до технології його створення і визначається як будь-який метод підписання без застосування будь-якої спеціальної технології для посилення захисту підпису, його здатності ідентифікації чи доказової сили. Таким підписом може бути електронна адреса особи, цифрове зображення власноручного підпису; «клік-реп» (click-wrap), який являє собою натискання на клавішу в програмі. Тим самим особа, що підписує, дає свою згоду на вчинення дії (цей метод поширений в електронних магазинах). Використання простого електронного підпису часто породжує на практиці правові спори, приміром, випадок, коли оскаржувалось придбання літньою жінкою авіаквитка до Флориди першим класом вартістю 6000 доларів США, коли вона виразила згоду на придбання шляхом натискання програмної клавіші «Згоден». [9]

Захищений електронний підпис, на відміну від простого підпису, використовує ряд технологій для підвищення здатності ідентифікації та юридичної сили, таких як: «динамічний підпис» (signature dynamics), що полягає в підписанні документу за допомогою сенсорного екрану власноруч; біометричні характеристики людини (голос, особливості друкування тексту), власні криптографічні методи. Цифровий електронний підпис - заснований на криптографічному методі генерації та підтвердження електронного цифрового підпису.

Відповідно до Загальнодержавної програми адаптації законодавства України до законодавства Європейського Союзу від 15 квітня 2004 року, державна політика України щодо адаптації законодавства формується як складова частина правової реформи в Україні та спрямовується на забезпечення єдиних підходів до нормопроектування, обов'язкового врахування вимог законодавства Європейського Союзу під час нормопроектування. А отже особливо необхідним є порівняння законодавства України та Європейського Союзу в сфері електронного підпису.

В Європейському Союзі принципи використання електронних підписів визначаються Директивою 1999/93/ЄC Європейського парламенту та Ради «Про систему електронних підписів, що застосовується в межах Співтовариства» від 13 грудня 1999 року. Мета прийняття директиви - зробити електронні підписи легкими у використанні і визнаними у всіх країнах ЄС. Директива 1999/93/ЄС дає визначення електронного підпису та удосконаленого електронного підпису. Згідно з ч. 1 ст. 2 Директиви, термін «електронний підпис» означає дані, подані в електронній формі, які додаються чи логічно поєднуються з іншими електронними даними та які служать в якості методу засвідчення достовірності [7].

Згідно з ч. 1 ст. 2 Директиви, термін «удосконалений електронний підпис» означає електронний підпис, який відповідає наступним вимогам:

a) він пов'язаний винятково з особою, що підписалась;

b) він дає можливість ідентифікувати особу, що підписалась;

c) він створений за допомогою засобів, які особа, що підписалась, може тримати під своїм повним контролем; і

d) він пов'язаний з даними, до яких він відноситься у такий спосіб, що будь-яку подальшу зміну даних можна виявити;

Згідно з ч. 5 Директиви, Держави-члени забезпечують, щоб удосконалені електронні підписи, засновані на кваліфікованих сертифікатах і створені за допомогою безпечних механізмів створення підпису:

a) задовольняли юридичним вимогам до підписів стосовно даних, поданих у електронній формі, так само, як підпис, написаний власноручно, задовольняє вимоги стосовно даних, нанесених на папір; і

b) були прийнятними в якості доказів у судочинстві [7].

Таким чином «удосконалений електронний підпис» Директиви базується на методі криптографічних перетворень, а отже співпадає з поняттям «цифрового підпису» Конвенції ЮНСІТРАЛ.

Законодавство окремих держав Європейського Союзу базується на Директиві Європейського Союзу. Так, в Законі Італії 34/2002 «Про інформаційні послуги та електронну торгівлю», який прийнято відповідно до Директиви, розрізняються три види ЕП:

1) електронний підпис як сукупність даних у електронному варіанті, які можуть бути використані як засіб ідентифікації особи, яка підписує. Чітким прикладом такого підпису (найпростішого серед трьох і такого, який надає користувачам найменше гарантій безпеки) є користувач і пароль, який ми використовуємо для доступу до нашої електронної пошти;

2) ускладнений або "прогресивний" ЕП як сукупність даних, які дозволяють ідентифікувати особу, яка підписує і зафіксувати будь-які подальші зміни інформації щодо самого підписуючого чи щодо даних, на які він посилається при підписанні документу, і які знаходяться під його безпосереднім контролем. У такому випадку ЕП нам забезпечує цілісність та достовірність документу, що підписується, тобто гарантує, що зміст документу не зазнав жодних змін з моменту його підписання;

3) кваліфікований (визнаний) сертифікат - це удосконалений ЕП з підвищеним рівнем безпеки, який створено на основі державного визнаного сертифікату щодо створення ЕП. Різниця між другим та третім різновидом ЕП полягає у тому, що останній засвідчується Державним відділом сертифікації, який перед виданням сертифікату встановлює дієздатність його особи-власника [5].

Згідно з п. 2 ст. 10 Закону Польщі «Про електронний підпис», дані в електронній формі, забезпечені безпечним електронним підписом, складеним за допомогою діючого кваліфікованого сертифіката, є рівнозначними за правовими наслідками документам з власноручними підписами, якщо інше не встановлено спеціальними приписами. Таким чином, для того, щоб електронний підпис був прирівняний до власноручного, він повинен бути безпечним і підтвердженим кваліфікованим сертифікатом. Відповідно до ст. 3 цього Закону, безпечним електронним підписом вважається такий підпис, який є: а) закріплений виключно за особою, яка складає цей підпис; б)забезпечений за допомогою безпечних пристроїв, які призначені для складання електронного підпису, і даних, які призначені для складання електронного підпису, що є підконтрольними виключно особі, яка складає підпис; в) пов'язаний з даними, з якими був поєднаний, таким чином, що будь-яка пізніша зміна цих даних є розпізнавальна [12].

Електронний підпис в Цивільному кодексі України регулює ст. 207, частина 3 якої однак в первинній редакції визначала електронно-числовий підпис. Зокрема, до внесення змін у 2012 році, було вказано, що використання при вчиненні правочинів електронно-числового підпису або іншого аналога власноручного підпису допускається у випадках, встановлених законом, іншими актами цивільного законодавства, або за письмовою згодою сторін, у якій мають міститися зразки відповідного аналога їхніх власноручних підписів [1]. Проте в Законі України «Про електронний цифровий підпис» від 22 травня 2003 року, вжито інше поняття - електронний цифровий підпис, під яким, очевидно, як і у Цивільному кодексі розуміється електронний підпис з використанням криптографічних перетворень. Проте це виявляє неузгодженість законодавчої термінології, що використовується у нормативно-правових актах.

Окрім цього, як зазначають науковці, у ч. 3 ст. 207 зроблена доктринальна помилка, оскільки використання електронного цифрового підпису розглядається як виключення, дозвіл на який спеціально повинен бути зазначений у законі. Можливість використання ЕЦП повинна, навпаки, бути загальним правилом, а виключення повинні бути передбачені в законі, тобто передбачені випадки, коли він не може бути використаний [15].

Дана термінологічна неузгодженість проте не була усунута. Хоча 18.09.2012 було внесено зміни в ч. 3 ст. 207 Законом України «Про внесення змін до деяких законодавчих актів України щодо функціонування платіжних систем та розвитку безготівкових розрахунків». Ці зміни усунули іншу термінологічну неузгодженість, закріпивши замість терміну електронно-числовий підпис, ширше поняття - електронний підпис. Адже, як відомо, електронний підпис, що будується на системі криптографічних перетворень, є лише різновидом електронного підпису. Окрім нього існують інші види електронного підпису, не закріплені в ст. 207 ЦКУ, проте функціонування яких є необхідним у різних сферах комерційних відносин, зокрема у сфері платіжних систем та розвитку безготівкових розрахунків, що безпосередньо зумовили внесення змін в Цивільний кодекс України. Як вказано у пояснювальній записці до проекту Закону України «Про внесення змін до деяких законодавчих актів України (щодо функціонування платіжних систем та розвитку безготівкових розрахунків)», метою законопроекту є створення умов, які сприятимуть збільшенню частки безготівкових розрахунків та зменшенню витрат держави і бізнесу на підтримання готівкового обігу. З прийняттям Закону України «Про внесення змін до деяких законодавчих актів України щодо функціонування платіжних систем та розвитку безготівкових розрахунків» також було внесено зміни до Закону України «Про платіжні системи України». Зокрема ст. 18 Закону України «Про платіжні системи України» вказує, що електронний підпис є обов'язковим реквізитом електронного документа на переказ. У ч. 2 ст. 18 зазначено, що порядок застосування електронного підпису, у тому числі електронного цифрового підпису, для засвідчення електронного документа на переказ установлюється нормативно-правовими актами Національного банку України. Таким чином, у платіжних системах доцільним є використання електронного підпису поряд із електронним цифровим підписом. І зміна до ст. 207 ЦКУ - це прогресивний крок до використання методів електронного підпису, які не потребують додаткових зусиль для їх генерації, та у конкретних відносинах є достатніми для посвідчення правочину [16].

Згідно зі ст. 1 Закону України «Про електронний цифровий підпис», електронний підпис - дані в електронній формі, які додаються до інших електронних даних або логічно з ними пов'язані та призначені для ідентифікації підписувача цих даних [5].

Таким чином, згідно із вказаним Законом, електронний підпис призначений для ідентифікації підписувача. Згідно Директиви 1999/93/ЄС Європейського парламенту та Ради «Про систему електронних підписів», електронний підпис служить в якості методу засвідчення достовірності.

Електронний цифровий підпис за правовим статусом прирівнюється до власноручного підпису (печатки) у разі, якщо: електронний цифровий підпис підтверджено з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису; під час перевірки використовувався посилений сертифікат ключа, чинний на момент накладення електронного цифрового підпису; особистий ключ підписувача відповідає відкритому ключу, зазначеному у сертифікаті. Електронний підпис не може бути визнаний недійсним лише через те, що він має електронну форму або не ґрунтується на посиленому сертифікаті ключа (ст. 3 Закону України «Про електронний цифровий підпис»).

Отже, електронний цифровий підпис прирівнюється до власноручного підпису (печатки) тільки у випадку виконання всіх трьох умов. Дані умови вимагають використання посиленого сертифікату. На думку авторів Коментаря до Закону України «Про електронний цифровий підпис», посилений сетифікат є українським ноу-хау і не визначений міжнародним та Європейським законодавством, Директивою ЄС 1999/93/ЄС або Модельним законом ООН про електронні підписи), якими визначається удосконалений електронний підпис та кваліфікований сертифікат, і які є міжнародними умовами визнання цифрового підпису еквівалентним власноручному та вимоги до яких дещо інші. Однозначний зв'язок між посиленим та кваліфікованим сертифікатом ключа законодавцем не встановлений [10].

Для вирішення завдань інтеграції України у світовий електронний інформаційний простір, удосконалення та регулювання відносин, що виникають під час використання електронного цифрового підпису, наказом Міністерства юстиції України від 10.04.2013 № 668/5 була затверджена Концепція реформування законодавства у сфері використання інфраструктури відкритих ключів та надання електронних довірчих послуг.

Відповідно до вищезазначеного акту, необхідність реформування законодавства у сфері електронного цифрового підпису зумовлена, зокрема, такими факторами: недостатністю рівня гармонізації термінології, що використовується в нормативно-правових актах, які регулюють сферу інфраструктури відкритих ключів та надання послуг з використанням електронного цифрового підпису, з термінологією, що використовується у відповідних міжнародних актах; відсутністю нормативно-правового регулювання визнання в Україні іноземних сертифікатів відкритих ключів та електронних підписів, що використовуються при наданні юридично значимих електронних послуг, відсутністю належної стандартизації інфраструктури відкритих ключів та надання послуг електронного цифрового підпису, а також органу оцінки відповідності державним стандартам та технічним регламентам функціонування інфраструктури відкритих ключів та послуг електронного цифрового підпису.

З метою реалізації Концепції передбачено гармонізацію термінології, зокрема введення термінів: «удосконалений електронний підпис», «кваліфікований електронний підпис» та ін. Окрім цього передбачено встановлення регулювання визнання в Україні іноземних сертифікатів відкритих ключів та кваліфікованих електронних підписів, що використовуються при наданні юридично значимих електронних послуг резидентам України; встановлення надання електронних довірчих послуг без використання кваліфікованого електронного підпису виключно на договірних засадах та повної дерегуляції у сфері надання послуг, що здійснюється без використання кваліфікованого електронного підпису.

Концепція передбачає розроблення та внесення на розгляд Верховної Ради України проекту Закону України "Про електронний підпис та електронні довірчі послуги", інші нормативно-правові документи, зокрема програмні документи із стандартизації інфраструктури відкритих ключів та надання електронних довірчих послуг, передбачивши, зокрема: перегляд і скасування застарілих стандартів, що забезпечують часткове технічне регулювання інфраструктури відкритих ключів та надання кваліфікованих електронних довірчих послуг [11].

Оскільки даний Закон прийматиметься з орієнтацією на Європейське законодавство, то зрозуміло яке смислове навантаження в даному випадку нестиме поняття «удосконалений електронний підпис». Щодо поняття «кваліфікованого електронного підпису», то в Директиві такого терміну немає, проте використовується термін «кваліфікований сертифікат», що позначає особливі вимоги безпеки.

Таким чином, на основі аналізу Директиви Європейського Союзу «Про систему електронних підписів, що застосовується в межах Співтовариства» та законодавств держав Європейського Союзу - Польщі та Італії, можна зробити наступні пропозиції щодо визначення термінів «удосконалений електронний підпис», «кваліфікований електронний підпис», які відповідно до Концепції, будуть використовуватися в законодавстві України.

Удосконалений електронний підпис - це електронний підпис, який відповідає наступним вимогам:

a) він пов'язаний винятково з особою, що підписалась;

b) він дає можливість ідентифікувати особу, що підписалась;

c) він створений за допомогою засобів, які особа, що підписалась, може тримати під своїм повним контролем;

d) він пов'язаний з даними, до яких він відноситься у такий спосіб, що будь-яку подальшу зміну даних можна виявити;

Таке визначення удосконаленого електронного підпису відповідає Директиві ЄС. А теперішнє поняття «електронного цифрового підпису» у однойменному Законі України є більш слабким ніж вище наведене, оскільки для електронного цифрового підпису відсутня ключова вимога щодо забезпечення можливості автору підпису утримувати під своїм повним контролем засіб створення підпису (особистий ключ підпису). Щодо кваліфікованого підпису, то він очевидно базуватиметься на кваліфікованому сертифікаті. Кваліфікований сертифікат є вимогою Європейської Директиви для визнання електронного підпису еквівалентним власноручному. В Законі України «Про електронний цифровий передбачено посилений сертифікат. Однозначний зв'язок між посиленим та кваліфікованим сертифікатом ключа законодавцем не встановлений, параметри для посиленого сертифіката не відповідають параметрам для кваліфікованого сертифіката. Таким чином поряд з гармонізацією термінології необхідно ввести відповідні міжнародні стандарти сертифікації. Пропонується наступне визначення кваліфікованого електронного підпису: кваліфікований електронний підпис - це удосконалений електронний підпис з підвищеним рівнем безпеки, який створено на основі державного визнаного сертифікату щодо створення електронного підпису, та який є еквівалентним власноручному підпису.

електронний комерція підпис документ

Список літератури

1. Цивільний кодекс України від 16 січня 2003 року // Відомості Верховної Ради України. - 2003 р. - № 40. Ст. 356

2. Типовий Закон ЮНСІТРАЛ «Про електронний підпис та інструкція по прийнятті». [Електронний ресурс]. - Режим доступу: http://www.uncitral.org/pdf/russian/texts/electcom/ml-elecsig-r.pdf

3. Пять самых интересных украинских патентов в сфере технологий [Електронний ресурс]. - Режим доступу: http://forbes.ua/business/1350702-pyat-samyh-interesnyh-ukrainskih-patentov-v-sfere-tehnologij/1350708#cut

4. AMB Group: Аналітичний огляд проблем електронного права в Україні. [Електронний ресурс]. - Режим доступу: http://www.itsway.kiev.ua/index.php?language=ua&main_managemen=about&managemen=eGov_Zak

5. Фурса С.Я. Теорія нотаріального процесу. - К. 2012 - C. 530

6. Закон України від 22 травня 2003 року «Про електронний цифровий підпис» // Урядовий кур'єр, N 119

7. Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community Framework for Electronic Signatures (Electronic Signatures Directive) // Official Journal of the European Communities. - 1999. - L13.

8. The Electronic Signatures in Global and National Commerce Act [Електронний ресурс]. - Режим доступу: http://www.ftc.gov/os/2001/06/esign7.htm

9. Халиков, Р. О. Общая характеристика законодательства об ЭЦП в России и за рубежом // Вестник ТИСБИ. - 2005. - № 4.-С. 167-187.

10. Науково-практичний коментар до Закону України «Про електронний підпис», Редакція від 10.02.2009 року, АМВ Group, Київ. [Електронний ресурс]. - Режим доступу: http://www.itsway.kiev.ua/pdf/Science-practic%20comment%20for%20Law%20about%20Electr%20Signature.pdf

11. Наказ Міністерства юстиції України від 10 квітня 2013 року № 668/5 «Про затвердження Концепції реформування законодавства у сфері використання інфраструктури відкритих ключів та надання електронних довірчих послуг» [Електронний ресурс]. - Режим доступу: http://www.minjust.gov.ua/42971

12. Ustawa o podpisie elektronicznym od 18 wrzeњnia 2001 r (Dz. U. z 2001 r. Nr 130, poz. 1450 z pуџn. zm). [Електронний ресурс]. - Режим доступу: http://isap.sejm.gov.pl/DetailsServlet?id=WDU20011301450

13. Загальнодержавна програма адаптації законодавства України до законодавства Європейського Союзу від 15 квітня від 2004 року // Відомості Верховної Ради України. - 2004. - № 29. С. 367.