Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Спробувати Оформити передплату
Спробувати Оформити передплату
Електронні підписи та новий закон
Роман Костенко, партнер, ЮФ "Астерс"

Паперовий документ із підписом і печаткою є традиційним способом підтвердження юридичних фактів. Практики створення паперових документів та їх обміну розвивалися сторіччями і стали частиною сучасної культури ділового обороту. Однак з розвитком технології та суспільства ця культура суттєво змінюється, і швидкість змін така, що акти нормативного регулювання часто не те, що не встигають, а й стають неактуальними вже в процесі підготовки. Можна сказати, що ця доля спіткала й Директиву ЄС про електронні підписи 1999 року. Вона дала змогу країнам-учасницям розробляти свої власні політики електронного документообігу і це призвело до того, що інфраструктури країн, у частині вимог до ідентифікації та верифікації, виявилися несумісними одна з одною і, відповідно, малопридатними до умов єдиного ринку.

Необхідно, однак, віддати Директиві її належне: вона фактично легітимізувала навіть ті способи електронного ділового обміну, за яких цілісність обмінюваних даних чи ідентифікація його учасників не захищені просунутими технічними засобами. Простіше кажучи, суд може вважати дійсним навіть договір, укладений шляхом обміну простими електронними повідомленнями, не кажучи вже про клік-договори (натискання на віртуальну кнопку "згоден" або "підтверджую") або договори, укладені за допомогою скан-копій.

Гармонізуючи своє законодавство з європейським, у 2003 році Україна прийняла Закон "Про електронний цифровий підпис" (далі – Закон про ЕЦП), який вніс у наше правове поле поняття електронного підпису та електронного цифрового підпису. Схожим з ЄС чином електронний підпис, навіть не захищений криптографічно, став набирати популярності в українському діловому обороті й одержувати все більше адміністративне прийняття.

У 2016 році європейську Директиву було скасовано, а на заміну їй прийшов eIDAS – Регламент ЄС 2014 року про електронну ідентифікацію, верифікацію та довірчі послуги1. Україна робить аналогічну рокіровку: Закон про ЕЦП втратить чинність 7 листопада 2018 року, а набере чинності Закон "Про електронні довірчі послуги" (далі – Закон про ЕДП).

1 Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market

Очевидним чином, у Законі про ЕДП багато взято за основу з eIDAS, низка положень є прямим перекладом. Юристам слід мати на увазі факт цієї аналогії, оскільки цілком ймовірно, що не тільки закон, а і його тлумачення із правозастосуванням ітимуть за європейською практикою.

Що ж до цієї статті, то далі вона присвячена змісту та практичному значенню Закону про ЕДП в Україні, без відсилань до європейської законотворчості. Розглянемо деякі з основних елементів Закону про ЕДП і почнемо з електронного підпису.

Закон описує електронний підпис, удосконалений електронний підпис і кваліфікований електронний підпис.

У найпростішому вигляді електронний підпис – це електронні дані, які додаються підписувачем до інших електронних даних або логічно пов'язуються з ними і використовуються ним як підпис.

Удосконалений електронний підпис (УЕП) – це електронний підпис, який відповідає таким додатковим критеріям:

– він зроблений шляхом криптографічного перетворення даних, з якими пов'язаний, за допомогою спеціального обладнання або програмного забезпечення;

– при цьому застосовувався особистий ключ, який однозначно пов'язаний з підписувачем і дає змогу його електронної ідентифікації;

– якщо відбувається втручання в цілісність даних, скріплених таким підписом, таке втручання стає таким, що його можна виявити.

Кваліфікований електронний підпис (КЕП) – це такий підпис, що відповідає всім критеріям для УЕП і, додатково, таким критеріям:

– обладнання та/або програмне забезпечення, якими він здійснюється, підлягають додатковим вимогам (на сьогодні законодавство не уточнює, яким саме);

– він базується на кваліфікованому сертифікаті відкритого ключа.

Тут слід приділити увагу термінам "особистий ключ" і "сертифікат". Криптографічний захист електронних підписів заснований, як правило, на шифруванні, яке передбачає використання пари "відкритий ключ – особистий ключ". Відкритий ключ доступний для кореспондентів і для підписувача, а особистий ключ має перебувати тільки в підписувача (ця асиметрія між ключами, до речі, і лежить в основі терміна "асиметричне криптографічне перетворення", що зустрічається в Законі). При цьому пара цих ключів створюється таким чином, що присвоїти документу електронний підпис можна тільки за допомогою особистого ключа, але перевірити підпис можна за допомогою відкритого ключа, що відповідає особистому ключу. Кореспондент, отримавши документ з удосконаленим електронним підписом, може, у загальному випадку, покладатися на те, що це присвоєння було зроблено власником особистого ключа. Крім того, під час створення підпису відбувається співвіднесення даних про документ і даних, що містяться в самому підписі, таким чином, що якщо після підписання змінити в документі що-небудь, то він перестане відповідати підпису й кореспондент має змогу це виявити.

Однак використання пари ключів само собою не вирішує питання ідентифікації підписувача. Адже хоча кореспондент бачить, що документу присвоєно конкретний підпис, він не завжди може бути впевнений у тому, що особистий ключ не було перехоплено або навіть що відкритий ключ із самого початку не було створено зловмисником з метою видачі себе за підписувача.

Щоб мінімізувати цей ризик, у схему вводиться ще один елемент: третя сторона, яка перевіряє особу підписувача й, упевнившись, що дані відкритого ключа відповідають особистим даним підписувача, видає сертифікат – спеціальний набір даних, асоційований із відкритим ключем, що засвідчується. Тепер кореспондент, одержавши підписаний документ, який пов'язаний не тільки з відкритим ключем, а і з сертифікатом, може покладатися й на те, що особа, яка застосувала електронний підпис, є тим, чий це підпис. При цьому якщо згадана третя сторона – засвідчувач внесена до спеціального Довірчого списку, то сертифікат, що видається нею, є кваліфікованим сертифікатом, і сама вона має статус кваліфікованого надавача електронних довірчих послуг. Слід звернути увагу, що Закон спеціально наголошує на ідентифікації – її проведення обов'язкове, якщо відповідна послуга є кваліфікованою.

Таким чином, більш наочно, ніж за допомогою формальних визначень, хоча і більш спрощено, класи електронних підписів можна описати таким чином. Електронний підпис – це будь-яка електронна форма даних, що використовується підписувачем як підпис, не обов'язково захищений. Приклад такого підпису – скан-зображення власноручного підпису, яке прикладається до текстового файла й конвертується, скажімо, у формат pdf. Удосконалений електронний підпис – це підпис, сформований з використанням засобів криптографії, але при цьому не обов'язково з використанням сертифіката, а якщо й з використанням, то не обов'язково, щоб сертифікат був кваліфікованим. Прикладом існуючого протоколу, який, приблизно, можна вважати таким, що підпадає під критерій удосконаленого підпису, є рішення, засновані на стандарті OpenPGP. Кваліфікований електронний підпис – має бути заснований на криптографії, і відкритий ключ має бути підтверджений сертифікатом, і сам сертифікат повинен бути кваліфікованим. Сьогоднішнім близьким аналогом кваліфікованого підпису є, мабуть, реалізації цифрового електронного підпису на підставі чинного Закону про ЕЦП.

Крім електронного підпису, Закон запроваджує поняття й електронної печатки. Електронна печатка також може бути удосконаленою та кваліфікованою – критерії цих класів аналогічні відповідним критеріям класів підписів. Відмінність полягає в тому, що електронним підписом може користуватися як юридична, так і фізична особа, а електронною печаткою – тільки юридична. У функціональному ж змісті суттєвої різниці між електронним підписом і електронною печаткою немає.

Слід зробити застереження, що Закон передбачає встановлення вимог, яким повинні відповідати засоби електронної ідентифікації та засоби кваліфікованого підпису та печатки; установлення цих вимог доручено Кабміну. При цьому Закон установлює принцип технологічної нейтральності – тобто невтручання держорганів у процес розробки обладнання та програм для криптографічного захисту, який не перешкоджатиме досягненню інтероперабельності між ними.

Хоча це формулювання не достатньо зрозуміле, йдучи за європейським досвідом, можна припустити, що йдеться про можливість розробників і надавачів послуг самим визначати, які схеми та рішення використовувати в межах установлених вимог, і з урахуванням принципу сумісності – наприклад, чи використовувати фізичні пристрої доступу чи хмарні сервіси, чи використовувати двофакторну або багатофакторну автентифікацію тощо.

Закон про ЕДП передбачає, що електронний підпис чи печатка не можуть бути визнані недійсними й позбавлені можливості розглядатися як доказ у судових справах виключно на тій підставі, що вони мають електронний вигляд чи не відповідають вимогам до кваліфікованого електронного підпису або печатки. З цієї точки зору, правовий статус простого електронного підпису залишається таким самим – відсутність кваліфікації не робить документ із таким підписом автоматично недійсним, але ступінь довіри до нього може бути низьким. Кваліфікований електронний підпис, навпаки, має презумпцію автентичності. (Ця презумпція однак ще не означає незаперечність; аналогічно, навіть автентичність ручного підпису може бути оскаржена). Удосконалений підпис займає середню позицію: його достовірність не презюмується, однак Закон присвоює схемам із таким підписом середній ступінь надійності.

Закон висуває спеціальні вимоги до кваліфікованих надавачів довірчих електронних послуг. Аби одержати цей статус, заявник (який може бути фізичною чи юридичною особою) має, крім інших організаційних і технічних заходів, здійснити атестацію своєї комплектної системи захисту інформації. Статус кваліфікованого надавача послуг заявники одержують з дня внесення відповідного запису до Довірчого списку (ще не створено). Слід зауважити, що акредитовані центри сертифікації ключів, створені за Законом про ЕЦП, отримують цей статус автоматично й мають бути внесені центральним засвідчувальним органом до Довірчого списку автоматично протягом року після набрання чинності Законом.

Крім формування, перевірки та підтвердження дійсності кваліфікованих електронних підписів і печаток, їх сертифікатів та їх зберігання кваліфіковані надавачі можуть надавати такі послуги:

– формування, перевірка та підтвердження електронної позначки часу;

– реєстрована електронна доставка.

У цій статті не описуються юридичні аспекти практики та перспектив цих послуг в українському діловому обороті. Однак принципи ідентифікації, підтвердження сертифікатів і засвідчення підписами стосовно цих послуг багато в чому аналогічні до того, що описано раніше щодо електронних підписів та їх класів. Можливо, цим додатковим послугам буде присвячено окрему статтю.

ВИСНОВОК:

На перший погляд, Закон про ЕДП більше нагадує технічний норматив, ніж, власне, закон. Враховуючи, що попередній Закон про ЕЦП мав схожий характер і сприймався як щось нішеве, є спокуса не надавати цій реформі великого юридичного значення. Однак на сьогодні резонанс як самого закону, так і теми електронної ідентифікації взагалі може бути іншим. На відміну від попереднього десятиліття, ідентифікація клієнтів і контрагентів стає суттєво більш важливим аспектом для багатьох видів діяльності. По-перше, оскільки комерційна діяльність, у найширшому сенсі, стає усе більш інтернет-залежною, а бізнес-відносини – усе більш дистанційними. По-друге, оскільки бізнеси зобов'язані ідентифікувати всіх, з ким мають справу з усе зростаючою ретельністю й з усе зростаючою відповідальністю за недотримання вимог щодо ідентифікації. Таким чином, є ймовірність, що в осяжному майбутньому застосування технологій і практик, описаних у цій статті, стане необхідністю не лише для банків і бізнесів з посиленим ризик-менеджментом, а й для середніх і малих бізнесів. У цьому випадку розуміння того, як працює інфраструктура електронних підписів, може стати так само важливим, як і вміння користуватися ноутбуком – як для юристів, так і для їх клієнтів.

Мати доступ до номерів і всіх статей видання Ви зможете за умови передплати на електронне видання ЮРИСТ&ЗАКОН
Контакти редакції:
uz@ligazakon.ua