«Юридические и коммерческие аспекты ввода в действие Директивы 1999/93/ЕС и практическое применение электронных подписей в странах-членах ЕС, ЕЭЗ, странах, вступающих в ЕС и странах-кандидатах Правовые и рыночные аспекты ...»
-- [ Страница 1 ] --
Правовые и рыночные аспекты
электронной подписи
Юридические и коммерческие аспекты ввода в действие Директивы 1999/93/ЕС и
практическое применение электронных подписей в странах-членах ЕС, ЕЭЗ, странах,
вступающих в ЕС и странах-кандидатах
Правовые и рыночные аспекты электронной подписи
Постановка проблемы исследования
1.1 Задачи и методология
Европейская комиссия отправила запрос на проведение исследования юридических и практических вопросов, относящихся к вводу в действие Директивы ЕС 1999/93 Европарламента и Совета от 13 декабря 1999 года «О создании в Сообществе основы для применения электронных подписей» («Директива»), а также к практическому применению электронных подписей и связанных с ними услуг на европейском рынке.
Исследование было проведено командой под руководством Джоса Думортье, профессора Факультета права и директора Междисциплинарного центра права и информационных технологий (ICRI) в K.U.Leuven (Католическом Университете г. Лювен). Юридические аспекты исследовались профессором Думортье совместно с Патриком Ван Ееке и Джорджией Скоума из секции информационного права фирмы Landwell (Bogaert & Vandermeneulebroeke, Brussels). В рыночных и технических вопросах профессору Думортье помогали Ханс Нильсон (HN Consulting) и Штефан Кельм (Secorvo).
Первой целью проекта было предоставить анализ национального законодательства, реализующего Директиву в странах-членах ЕС, а также анализ правовой ситуации в отношении электронных подписей в странах ЕЭС и странах-кандидатах, включая существенные прецеденты по данному вопросу.
Второй целью проекта было проведение анализа основных практических и коммерческих применений электронной подписи в указанных странах, уделив особое внимание используемым технологиям, вопросам совместимости продуктов и услуг, а также использованию общих стандартов в данной области.
На основе собранных данных и анализа правовых и практических вопросов, относящихся к электронным подписям, были подготовлены рекомендации по возможному изменению области действия Директивы в свете развития технологий, рынка и законодательства.
Результаты исследования представлены в различных материалах, которые целиком включены в окончательный отчёт:
1) отчёт о применении Директивы 1999/93 в странах-членах, а также правовом статусе электронной подписи и связанных с ней услуг в странах ЕЭС и странах-кандидатах, включая выводы и рекомендации 2) ответы национальных респондентов по анкетам 3) подборка документов, включающих действующее национальное законодательство и прецедентное право 4) данные о применении электронных подписей в странах-членах, очерчивающие их коммерческие и технические характеристики и соответствие с Директивой 1999/ 5) подборка карточек, обозначающих правовой статус и практическое применение электронных подписей во всех обследованных странах Команда по проверке качества провела оценку всех материалов с точки зрения их правовых и технических характеристик до их передачи Европейской Комиссии.
Окончательный отчет стр. 2 из Правовые и рыночные аспекты электронной подписи Для выполнения своих задач команда исследователей работала совместно с сетью национальных корреспондентов в странах-членах ЕС, странах ЕЭС и странах-кандидатах.
Корреспонденты были большей частью правоведами, компетентными в технических вопросах. Они были выбраны за практические знания и понимание путей применения электронных подписей на внутренних рынках своих стран.
Корреспондентам было предложено заполнить анкету, содержащую более 200 вопросов, имеющих отношение как к правовым, так и практическим аспектам применения Директивы об электронных подписях в своей стране. Их также попросили собрать и отправить команде исследователей все действующее национальное законодательство, прецеденты и документацию о важнейших практических применениях электронной подписи. Корреспонденты проконсультировались с другими лицами и организациями в данной сфере с целью обеспечить полноту собранных данных.
Получив обратную связь по странам, команда исследователей начала анализ правовых и практических последствий ввода в действие Директивы. Команда сосредоточила внимание на возможных пробелах в национальном законодательстве и возможных трудностях применения. Команда также исследовала вопросы, являющиеся типичными для большего числа стран и способные помешать практическому применению электронных подписей и связанных сервисов на национальном и общеевропейском уровне.
Более того, команда провела анализ практических и коммерческих применений электронных подписей в различных странах, вовлеченных в исследование. Практические применения оценивались с упором на коммерцию, технологии и связанные стандарты, используемые в настоящее время. Практические применения также оценивались с точки зрения соответствия европейской директиве. Это означает, что исследователи проверили, соответствуют ли практические применения законодательным требованиям и рекомендациям Директвы, таким как соответствие Приложениям (тип сертификата, тип ПСУ, тип устройства для создания и проверки подписи).
Европейской комиссии был представлен предварительный отчёт с первыми результатами исследования. Корреспонденты были приглашены в Брюссель на двухдневный семинар с целью презентации и обсуждения предварительных итогов. Национальные корреспонденты могли вносить свои примечания и указать на отдельные нюансы практической и правовой ситуации в их странах. На основе данных обратной связи от корреспондентов и Комиссии, исследовательская команда обновила и уточнила материалы и начала размышлять о том, какие выводы необходимо сделать и какие рекомендации предоставить.
При подготовке выводов исследовательская команда обратила особое внимание на технологии, применяемые для генерации электронной подписи, рынки, в наибольшей степени зависимые от них, уровень электронных подписей, международное применение и границу, проведенную между лицензированием услуг сертификации (запрещено Директивой) и аккредитацией этих услуг (разрешено).
Анализ действующего национального законодательства, передового опыта, прецедентов и действий на рынке привел к выработке практических рекомендаций того, как адаптировать существующую правовую систему Европы в отношении электронных подписей.
Окончательный отчет был представлен исследовательской командой Европейской комиссии в Брюсселе в октябре 2003 года.
1.2 Результаты и рекомендации 1.2.1 Результаты Исследовательская группа обнаружила, что большая часть стран-членов ЕС более или менее добросовестно транспонировали1 Директиву в национальное законодательство.
Кроме того, многие из обследованных стран - не членов ЕС построили собственное законодательство в области электронных подписей и предоставления связанных с ними услуг на основе Директивы ЕС. С технической точки зрения, Директива даже повлияла на международные инициативы в области стандартизации, такие как работы IETF в области стандартизации квалифицированных сертификатов. Ясно, что Директива оказала влияние на юридическую и техническую деятельность за пределами границ ЕС. Примечательно, что новая терминология, представленная в Директиве (в особенности:
Квалифицированный сертификат, Усовершенствованная электронная помощь, Провайдер сертификационных услуг), была принята в странах ЕЭС, Швейцарии, странах, входящих в ЕС и в странах-кандидатах.
Хотя общий дух Директивы был соблюден государствами-членами при транспонировании, некоторые вопросы, тем не менее, были определены как проблематичные. Эти проблемы большей частью можно отнести к неправильной трактовке формулировок Директивы, что, в свою очередь, ведёт к расхождениям в национальном законодательстве и/или расхождениям в практическом применении правил.
В отношении правил входа на рынок, оговоренных в Статье 3 Директивы, необходимо сделать следующие примечания. Позитивным моментом является то, что ни одна из обследованных стран-членов не заявляет о необходимости предварительного разрешения на предоставление услуг сертификации для провайдеров, зарегистрированных в другой стране-члене ЕС, тем самым формально соблюдая положения Статьи 3.1 о входе на рынок. Действительно, для ПСУ, учрежденного в одном государстве-члене, вполне возможно предоставлять услуги сертификации в другом государстве-члене ЕС, без необходимости запрашивать предварительное разрешение у национального органа. Это не было возможно нигде в Европе, пока Директива не была издана и транспонирована.
С другой стороны, различные государства-члены создали схемы надзора, очень близкие к предварительному утверждению и, возможно, нарушающие положения Статьи 3.1.
Учитывая, что ПСУ были созданы во всех обследованных странах (за незначительными исключениями), а большая часть схем надзора находится ещё на ранних стадиях развития, пока невозможно сравнивать практические результаты работы этих схем. Тем не менее, стало очевидным существование очень существенных расхождений между различными схемами надзора в государствах-членах. Хотя влияние этих расхождений остается ограниченным, а большинство ПСУ работают исключительно на своей родине, расхождения начнут оказывать негативное влияние с началом запуска европейскими и неевропейскими провайдерами услуг новых зарубежных сервисов на территории ЕС.
Помимо этого, правила добровольной аккредитации, изложенные в Директиве, видимо, неправильно поняты национальными правительствами. Многие страны Европы ошибочно полагают, что схемы добровольной аккредитации представляют собой средство контроля за тем, действует ли провайдер сертификационных услуг в соответствии с положениями Директивы. Еще одним тревожным наблюдением является то, что схемы добровольной Транспонированием называется перенос правовых норм из нормативного правового акта, имеющего большую юридическую силу, в нормативный правовой акт, имеющий меньшую юридическую силу (прим. пер) аккредитации во многих европейских странах на практике оказываются не совсем добровольными. Типичный пример: многие национальные программы «электронного правительства» принимают в качестве участников только аккредитованных ПСУ, тем самым непрямым образом обязывая ПСУ получать аккредитацию. Такое развитие событий, естественно, не соответствует духу Директивы.
В том, что касается так называемого «исключения для государственного сектора» из Статьи 3.7, позволяющего государствам-членам использовать электронные подписи в госсекторе, предъявляя дополнительные требования, мы обнаружили расхождения и в толковании, и в выполнении данной нормы. Становится ясным, что во многих странах использование электронных подписей в государственном секторе обусловлено дополнительными требованиями (к безопасности). Электронное сообщение с государственными органами во многих странах Европы возможно только при использовании электронных подписей на основе квалифицированных сертификатов, выданных аккредитованным ПСУ. Следует напомнить государствам-членам, что наложение дополнительных условий может объясняться только объективными причинами и должно быть связано исключительно с особенностями области применения. Кроме того, государства-члены должны гарантировать, что их инициативы не нарушают основные правила конкуренции.
Что касается оценки соответствия защищенных устройств создания подписей (SSCD), многие страны, похоже, весьма неохотно назначают собственные уполномоченные органы для оценки соответствия SSCD. Возможно, это связано с очень высокими требованиями к безопасности SSCD и отсутствием активных производителей в большинстве стран. Еще одной причиной являются большие затраты ресурсов на деятельность органов, проводящих оценку соответствия. Сам процесс оценки продукта, как правило, очень затратный как в отношении финансов, так и в отношении времени. К прочим причинам нежелания производителей проводить оценку своей продукции относится то, что результаты оценки являются действительными в течение лишь небольшого времени (требуется повторная оценка), и оценка соответствия «замораживает» продукт, не давая возможности более его менять (например, с целью закрыть уязвимость безопасности) без аннулирования результатов оценки. Следовательно, хотя небольшое количество SSCD уже прошли оценку соответствия, все они оценивались относительно небольшим количеством компетентных организаций. Только в Австрии, Германии и Чешской Республике количество продуктов, прошедших оценку соответствия, превысило два. В ряде стран (Австрия, Германия) продукты для электронной подписи, отличные от SSCD, также прошли оценку соответствия.
Принцип отсутствия дискриминации в отношении электронных подписей, который регулируется Статьей 5.2 Директивы, переняла большая часть национальных законодателей. Тем не менее, прямое транспонирование Статьи 5.2 имело место не во всех случаях, а в тех странах, где это было сделано, сфера применения Статьи 5.2 не всегда охватывалась во всей её полноте. Пока неясно, окажет ли это не очень чёткое транспонирование влияние на правовое применение электронной подписи. Таким образом, потребуется пристальное наблюдение за тем, как электронные подписи будут рассматриваться будущим национальным законодательством и прецедентным правом.
Будет преждевременным делать выводы о позиции судей в отношении электронной подписи, учитывая, что к настоящему времени зафиксировано очень мало судебных прецедентов по этому вопросу. Несомненно, до последнего времени объем судебных прецедентов, прямо связанных или просто вызывающих появление вопросов, связанных с электронными подписями остается слишком небольшим и разрозненным, чтобы судить о мнении судей по данному предмету.
Что касается юридической силы квалифицированных электронных подписей (этот вопрос регулируется Статьей 5.1 Директивы), в большинстве стран Европы отмечена общая тенденция прямо признавать эквивалентность собственноручной подписи и конкретного «типа» электронной подписи, устанавливая условия, аналогичные или незначительно отличающиеся от определенных в Статье 5.1. Тем не менее, важно знать, что Директива обязывает государства-члены лишь гарантировать, что квалифицированная электронная подпись, говоря юридическим языком, имеет тот же статус, что и собственноручная подпись, но не регулирует законное применение и юридические последствия собственноручной подписи и, тем самым, также и юридические последствия квалифицированной электронной подписи. Законное использование и юридические последствия (какие операции требуют наличия подписи, какова доказательная сила подписи и т.д.) остаются в компетенции национального законодательства.
Квалифицированные электронные подписи должны соответствовать требованиям, приведенным в первых трех Приложениях к Директиве. В связи с этим очень важным является правильное транспонирование Приложений в национальное законодательство.
Приложение I выполняется в большинстве обследованных стран очень похоже.
Единственная угроза связана с проблемами совместимости, которые могут возникнуть при расхождениях в технической реализации норм Положения I, например, при отказе от использования ETSI TS 101 862 или иного общего формата для преобразования требований Приложения I. Поэтому Комиссии следует способствовать использованию стандартов совместимости для технической реализации Приложения I. При применении Приложения II уровень реализации иногда очень отличается; это означает, что в создании и деятельности ПСУ будут существенные различия. В связи с этим любой организации, намеревающейся учредить ПСУ в нескольких странах, придется приспосабливаться к различным требованиям и процедурам. Производители продукции также испытают сложности с созданием продуктов для этого разрозненного рынка. Кроме того, некоторые страны предъявляют подробные и ненужные дополнительные требования к ПСУ, создавая тем самым барьеры для их создания. Поэтому Комиссии следует указывать на все ненужные и излишние требования к ПСУ, которые могут восприниматься как рыночные барьеры. В реализации Приложения III также отмечается разрозненность. Так, требования к SSCD в Австрии и Польше намного выше, чем в некоторых других странах Европы. В том, что касается Приложения IV, Статья 3.6 выражается достаточно ясно. Данный список содержит лишь рекомендации, которые следует принять во внимание государствамчленам и Европейской комиссии в процессе совместной работы по содействию развитию и применению устройств для проверки подписей. Это ни в коем случае не должно становиться обязательными требованиями на национальном уровне, как сделали некоторые из государств-членов ЕС.
За очень немногими исключениями, все страны Европы предусмотрели специальные положения об ответственности, транспонирующие Статью 6 Директивы в национальное законодательство. Внутри ЕС соответствующие статьи об ответственности в законодательстве стран-членов следуют формулировкам и логике Статьи 6. В тех случаях, когда транспонирование не было прямым, общей тенденцией было ужесточение ответственности путем расширения области применения Статьи, в особенности путём расширения перечня оснований возникновения ответственности, изложенного в Директиве.
Все страны, охваченные исследованием, установили в своем национальном правила официального признания иностранных квалифицированных сертификатов на своей территории. Различия между внутренними и иностранными сертификатами не делают только Ирландия, Великобритания и Мальта. Большая часть стран ЕС и ЕЭС добросовестно транспонировали условия Статьи 7 в национальное законодательство. В странах, готовящихся вступить в ЕС и в странах-кандидатах ситуация выглядит отчасти более сложной.
Реализация правил защиты данных из Статьи 8 в национальном законодательстве, очевидно, не вызвала каких-либо серьезных затруднений. Впрочем, некоторые страны неправильно ввели в исполнение Статью 8.2. В этих странах ПСУ не обязан следовать более строгим правилам в области защиты данных, хотя ПСУ, учрежденный в другом государстве-члене ЕС, должен соблюдать национальные правила. Это может стать причиной жалоб на недобросовестную конкуренцию и, тем самым, создать барьеры на внутреннем рынке. Требуется дальнейшее обсуждение того, насколько реалистичны строгие правила Статьи 8.2 в отношении ПСУ, выдающих сертификаты гражданам, учитывая, что большая часть данных, находящихся в распоряжении ПСУ, поступает от третьих лиц, таких как местные органы регистрации. Использование псевдонимов в сертификатах запрещено только в двух из обследованных стран. Только эстонское и болгарское законодательство в области электронной подписи по национальным правилам выдачи квалифицированных сертификатов запрещает использование псевдонимов.
Многие страны требуют раскрытия реальных имен государственным органам по требованию и с соблюдением ряда строгих условий.
Важный вопрос, который необходимо задать, состоит в том, какая в Европе на самом деле польза от электронных подписей? Количество поднадзорных и аккредитованных ПСУ, выдающих квалифицированные сертификаты в европейских странах, существенно варьируется от страны к стране; при этом во многих странах есть только один или вообще нет ПСУ. В тех странах, где было выдано большое количество квалифицированных сертификатов, это объясняется почти исключительно той или иной формой государственного стимулирования. В настоящее время отсутствует естественная потребность рынка в квалифицированных сертификатах и связанных с ними сервисах.
Самая большая область применения электронных подписей в Европе, как правило, связана с предоставлением электронных банковских услуг закрытому кругу пользователей, что оказывается вне сферы регулирования Директивы. Очень немногие области применения, охватываемые Директивой и используемые в настоящее время, практически полностью замыкаются на «электронном правительстве».
Интересно отметить, что многие поставщики программно-аппаратных ресурсов, действующие на рынке в настоящее время, ошибочно считают наличие квалифицированных электронных подписей в своих приложениях минимальным условием соответствия требованиям законов, что ведёт к неоправданным издержкам и усложнению планирования и разработки для применения квалифицированных электронных подписей.
Развитие технологий идёт быстрыми темпами, и в ближайшем будущем многие технические решения в области электронной подписи будут основываться на новейших технологических достижениях, таких как новые защищенные компьютерные системы, мобильные подписи и серверы подписей. Поэтому органы надзора, уполномоченные органы и все, кто участвует в регламентировании в сфере квалифицированных электронных подписей, должны без предубеждения относиться к этим технологиям и не ограничивать оценку безопасности только тем, что известно и доступно на сегодняшний день.
Недостаток совместимости, как на национальном, так и на наднациональном уровне, является серьезным препятствием на пути принятия рынком и дальнейшего распространения электронных подписей. Он привел к появлению множества изолированных «островов» в сферах применения электронной подписи, где для конкретной области применения могут использоваться сертификаты только одного центра сертификации. Только в небольшом числе случаев сертификаты нескольких центров могут использоваться для нескольких приложений. По этой причине ещё раньше следовало гораздо больше сделать для обеспечения совместимости на европейском уровне.
В ходе реализации программы EESSI (Европейская инициатива в области стандартизации электронных подписей) были разработаны несколько стандартов, совместимых с Директивой. Однако задержка между разработкой стандартов и публикацией ссылок на них в Официальном бюллетене привела к тому, что отдельные страны либо разработали собственные технические интерпретации Директивы (что привело к расхождению национальных требований в разных странах), либо дожидались разработки стандартов, что привело к отсутствию на рынке производителей товаров и услуг. До публикации ссылок на стандарты в Официальном бюллетене в июле 2003 года ясности в отношении стандартов, приемлемых для всех государств-членов ЕС, не было. Еще одной угрозой совместимости является то, что в настоящее время существует единственный набор стандартов в отношении квалифицированных электронных подписей (на основе PKI), что может воспрепятствовать применению новых технологий для квалифицированных электронных подписей.
«