|
|
  |
Главная страница / Архитектура отрасли ЗАКОН И ЭЛЕКТРОННЫЙ ДОКУМЕНТООБОРОТ(Окончание. Начало в №2/2002) Электронный документ – объект права собственности В существующих законах и предлагаемых законопроектах отсутствуют четкие нормы, определяющие электронный документ как объект права. Правовые нормы в сфере электронного взаимодействия должны регулировать общественные отношения между всеми субъектами, так или иначе причастными к практической реализации электронного документооборота на протяжении всего жизненного цикла документа. Концептуальная основа заложена действующим федеральным законом «Об информации, информатизации и защите информации» от 20.02.95 г. – отдельные документы и отдельные массивы документов (информационные ресурсы) признаются элементом состава имущества и объектом права собственности (ст. 2, 4, 6). В законе явно определяется собственник, владелец и пользователь информационных ресурсов, следовательно, и отдельного ЭлД. Тем не менее в последующих законах и законопроектах государственного уровня такой подход не только не развивается, но фактически дезавуируется. В видовых законопроектах имущественные права вообще не упоминаются. Спустя семь лет (срок, учитывая темпы развития электронных технологий, огромный) после принятия указанного Закона предлагается его новая редакция (от сентября 2001 г.), в которой позиция о собственности на документ «отредактирована» таким образом, что становится юридически эквивалентной понятию «владелец». Это огромная разница: человек, живущий в предоставленной государством квартире, является владельцем, но не собственником квартиры. Реализация собственником в полном объеме прав владения, пользования, распоряжения документом подменяется в новой редакции «...пределами, установленными законом» (разумеется, без конкретизации последнего). Исключено положение о том, что информационные ресурсы могут быть элементом состава имущества граждан, организаций и общественных объединений. Правоотношения между субъектами, причастными к электронному взаимодействию посредством неодушевленного и не воспринимаемого человеком ЭлД, должны определяться гражданскими правами и обязанностями этих субъектов: имущественными и связанными с ними личными неимущественными отношениями. Отнесение электронного документа к конкретной правовой категории позволило бы строить на этой основе взаимоотношения между субъектами-участниками на основе известных и общепризнанных правовых норм. Необходимость демонтажа правовых институтов, заложенных действующим Законом об информации, невозможно объяснить недостатками последнего. По общему мнению, это четкий и ясный закон, существенной критики которого не было. Остается предположить: нет частного собственника – нет проблемы собственности на электронный документ, нет и материальной и правовой ответственности за нарушение имущественных прав собственника. Попытаемся разобраться, о чем же гласит закон об ЭЦП. Объект законодательства определен в статье 3 (абзац 3): «Электронная цифровая подпись – реквизит ЭлД, предназначенный для защиты даый в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в ЭлД». Во-первых, ЭЦП – это не результат «криптографического преобразования», а результат двух последовательных преобразований: открытое и общедоступное – вычисление хэш-кода информации; криптографическое – формирование собственно ЭЦП на основе хэш-кода. О хэшировании в законе не сообщается ни единого слова, в сертификате на подпись требования к хэшированию, судя по тексту закона, не включаются. Говорится, правда, о средствах ЭЦП – «аппаратные и (или) программные средства, обеспечивающие создание и подтверждение ЭЦП, а также создание открытых и закрытых ключей» (ст. 3, абз. 5). Но кто определяет «водораздел»? Следует ли из закона, что компьютер, или клавиатура, или оперативная память есть средство ЭЦП? Если по умолчанию предполагается, что хэш-функция – это средство криптографии, то с таким же успехом и суммирование чисел надо называть средством криптографии. Нечестный субъект исходя из личных целей всегда может воспользоваться этой неопределенностью. Если трактовать хэш-функцию как криптографическое средство ЭЦП, то алгоритм хэширования можно задать принудительно, в том числе заставить субъекта применять «плохую» хэш-функцию, секрет (изготовление другого документа с таким же хэш-кодом) которой известен посторонним. Тогда никакая криптография при формировании собственно цифровой подписи от подделки не защитит. Используя в качестве аргумента статьи закона, любой юрист может утверждать, что ЭлД с такой «плохой» хэш-функцией также подлинный: его цифровая подпись удовлетворяет всем требованиям ст. 4-1 закона, значит, искажения отсутствуют. Если же хэш-функция не является средством ЭЦП, то ответственность за ее применение возлагается на отправителя документа и претензии к центру, удостоверяющему цифровую подпись, не имеют правовой основы. Во-вторых, ЭЦП не позволяет «идентифицировать владельца подписи». Что такое идентификация? Отнесение одного из представленного множества объектов к некоторой категории. Идентифицировать владельца подписи – это значит опознать из группы людей того, кто подписал данный документ. Но на самом деле требуется «привязать» документ как объект к субъекту-автору, существующему независимо и вне документа (out – из, вне, наружу), аутентифицировать документ. Аутентификация документа – объективное подтверждение содержащейся в нем идентифицирующей информации. Понятия «идентификация» (identification) и «аутентификация» (authentification) близки, поэтому в среде обычных человеческих взаимоотношений (аналоговой среде), базирующейся на приблизительной терминологии, обычно используется первое. В электронной цифровой среде, требующей однозначности, такое совмещение смыслов ведет к абсурдным результатам. Не случайно термин «аутентификация» стал широко использоваться именно в сфере электронного взтьих, ЭЦП не позволяет установить «отсутствие искажения» в ЭлД, а выступает в качестве средства обнаружения подделки документа. Подлинность ЭЦП говорит только о том, что возможные искажения не выявлены, но вероятность «пропуска» подделки не равна нулю, хотя и очень мала. А вот если метод криптоанализа ЭЦП известен, то подделка проста. Если поддельный документ имеет подлинную цифровую подпись, то судебное разбирательство невозможно: по закону в документе отсутствуют искажения, документ подлинный. Признать обратное – нарушить закон. Даже определение закона дает настолько широкие возможности толкования, что объективное его применение в сколь-нибудь спорных случаях невозможно. А именно в таких случаях закон и необходим. Владельцы, средства и удостоверяющие центры В ст. 9 проекта закона об ЭЦП [2] предусматривалась такая функция удостоверяющего центра, как регистрация ЭЦП. В действующем законе ее нет, но указано (ст. 9), что удостоверяющий центр создает ключи ЭЦП с гарантией сохранения в тайне закрытого ключа. Если такое редактирование означает, что подпись с произвольным закрытым ключом удостоверяющий центр не обязан регистрировать, то тайную личную подпись («собственный» закрытый ключ) нельзя будет официально применять. Придется использовать предложенный центром закрытый ключ, который будет известен не только владельцу, но и третьим лицам, обещающим гарантию сохранения его в тайне. Ст. 5 закона об ЭЦП предписывает при создании открытых и закрытых ключей применять только сертифицированные средства ЭЦП. Ранее уже цитировалась норма закона (ст. 3, абз. 5), определяющая такие средства и дающая неограниченный простор для произвольного толкования. Ссылаясь на закон, можно потребовать, чтобы не только действительно необходимые, но все применяемые инструментальные средства вычислительной техники были сертифицированы, что в наших условиях ведет к легко прогнозируемым последствиям. Применять цифровую подпись согласно ст. 3 Закона могут только физические, но не юридические лица. Таким образом, налоговая декларация, посланная физическим лицом по электронной почте, юридическую силу имеет, а вот ответ инспекции о ее получении юридически ничтожен. Если на момент конфликта руководитель фирмы (физическое лицо), с которой заключен договор в электронной форме, уволился, то никакие претензии к фирме (юридическому лицу) невозможны. Хотя в ст. 3 устанавливается, что «... владелец сертификата ключа подписи – физическое лицо, на имя которого удостоверяющим центром выдан сертификат ...» но в ст. 13 предусматриваются основания для приостановления действия сертификата на основе «... указания лиц или органов, имеющих такое право в силу закона или договора ...». Так считать ли физическое лицо владельцем сертификата или всего лишь пользователем? Если физическое лицо – владелец сертификата, то ошибочна ст. 13. Владельца лишить владения может только суд. Если лицо – только пользователь сертификата, то неверна ст. 3. и кого тогда счит гражданский паспорт – это собственность государства, а не личности. *** Приведенные в статье замечания – а это далеко не полный их перечень – дают основания для следующего заключения: в силу неоднозначности норм и предписаний видовых федеральных законов ими нельзя пользоваться, но законы можно применять для достижения личных или ведомственных целей. Федеральные законы и законопроекты, даже недоработанные, ошибочные в ряде позиций не только привлекают большое внимание общества, но и заставляют интенсифицировать поиск правильных решений, унифицируют трактовку и понимание новых явлений, и с этих позиций их эффективность несомненна. Цикл разработки, обсуждения, прохождения и принятия видовых законов составляет несколько лет. Формирование нового системного понимания документа, выработка и становление прогрессивного законодательства – процесс не революционный, а эволюционный. Он требует определенного времени, поэтому необходимо незамедлительно приступить к разработке очередного «поколения» видовых нормативно-правовых документов, учитывающих ближайшие перспективы развития электронного документооборота. Главная страница / Архитектура отрасли |