«Юридические и коммерческие аспекты ввода в действие Директивы 1999/93/ЕС и практическое применение электронных подписей в странах-членах ЕС, ЕЭЗ, странах, вступающих в ЕС и странах-кандидатах Правовые и рыночные аспекты ...»

1.5.2 Статья 5. В качестве общего принципа в Статье 5.2 Директивы указано, что государства-члены не могут отказывать электронной подписи в юридической силе или допустимости использования в качестве доказательства в суде на том лишь основании, что подпись представлена в электронной форме либо не выполнены требования Приложений 1-3.

Иными словами, по существу Статья 5.2 устанавливает, что электронным подписям не может быть отказано в юридической силе и допустимости использования в качестве доказательства в судебных процессах на том лишь основании, что они представлены в электронной форме, либо не являются квалифицированными. Следствие Статьи 5. состоит в том, что государства-члены не могут составлять или сохранять в силе нормы, а также подтверждать или утверждать частные нормы с целью осудить использование средств электронной аутентификации на основании лишь электронного формата или их неквалифицированного характера.

Перейдя на разговорный язык, можно сделать следующий вывод: для того, чтобы отказать в юридической силе, требуется нечто большее, чем ссылка на электронный формат.

Видимо, это интерпретируется как требование о наличии существенного возражения «по существу» конкретной применяемой технологии. Иными словами, требуется, чтобы любой отказ электронной подписи в юридической силе или допустимости использования основывался на утвердительном заключении о, например, недостаточной технической надежности, неоправданности в конкретных обстоятельствах или контролируемости.

Отказ в юридической силе должен быть всецело обеспечен достаточно обоснованным и рационально построенным обоснованием, скорее индивидуальным по характеру, а не общим по замыслу.

В том, что касается связи со Статьей 5.1, норма Статьи 5.2 устанавливает границы применения понятия «квалифицированная электронная подпись». Согласно Статье 5.2, государства-члены должны гарантировать, что электронной подписи не будет отказано в юридической силе на том лишь основании, что она не основана на квалифицированном сертификате и/или не создана при помощи защищенного устройства для создания подписей. Это существенно, например, в ходе судебного процесса: судья не может отвергнуть электронную подпись по той лишь причине, что это не «квалифицированная электронная подпись». Однако, он не обязан давать этой подписи ту же юридическую силу, что может иметь собственноручная подпись. Достаточно сказать, что положения Статьи 5.2 касаются и законодателей государств-членов. Законы, отрицающие юридическую силу электронных подписей на одном только основании, что они не являются «квалифицированными электронными подписями», не будут соответствовать Статье 5.2. Понятие «квалифицированная электронная подпись» должно использоваться только для оценки эквивалентности электронного метода аутентификации в сравнении с собственноручной подписью в среде, где преобладают бумажные носители.

Использование данной категории для других целей в принципе не разрешается.

1.6 Ответственность (Статья 6) В Статье 6 Директивы содержатся нормы об ответственности издателей квалифицированных сертификатов. Согласно Статьям 6.1 и 6.2, провайдер сертификационных услуг, выдающий гражданам сертификаты в качестве квалифицированных сертификатов либо гарантирующий такие сертификаты для граждан, несет ответственность за: (a) точность и полноту содержания квалифицированного сертификата и списков отозванных сертификатов, (b) гарантию того, что удостоверенное подписывающее лицо владеет секретным ключом в момент выдачи; (c) соответствие секретного и открытого ключей в случаях, когда провайдер сертификационных услуг генерирует оба этих ключа.

Статья 6 предусматривает минимальные пределы ответственности для ПСУ. Это означает, что государства-члены могут превысить требования Статьи 6, вводя Директиву в действие, но не имеют право установить меньший объем ответственности ПСУ.

Например, государства-члены могут установить ужесточить ответственность ПСУ либо ввести нормы об ответственности, которые также затрагивают ПСУ, выдающих неквалифицированные сертификаты. В этой связи результатом Статьи 6 Директивы должно стать усиление защиты пользователей.

С другой стороны, Статьи 6.3 и 6.4 предусматривают определенные ограничения ответственности, которые государства-члены должны принимать. Эту часть Статьи можно охарактеризовать как «дружественную к ПСУ».

Для того, чтобы применялись положения об ответственности Статьи 6 Директивы об электронных подписях, должен быть выполнен ряд условий:

1.6.1 Квалифицированный сертификат Во первых, положения Директивы об ответственности применяются только в том случае, если сертификат был выдан в качестве квалифицированного. Тем самым, вопрос о квалифицированности дефектного сертификата не имеет значения. Однако обозначение сертификата, данное ему ПСУ («квалифицированный»), существенно. Логика этого решения становится очевидной, если принять во внимание, что требования, которым должен соответствовать сертификат, чтобы стать квалифицированным, а провайдер сертификационных услуг — чтобы подпадать под определение Приложения II, большей частью устанавливаются с целью гарантировать безопасность сертификационной услуги.

В большинстве случаев подписывающее лицо и зависимая сторона неспособны проверить, является ли сертификат на самом деле квалифицированным с точки зрения Директивы.

Они полагаются на определение «квалифицированный», данное сертификату ПСУ, в том виде, в котором оно требуется для квалифицированных сертификатов согласно Приложению I (a).

1.6.2 «Выдаваемый гражданам»

Во-вторых, сертификат должен «выдаваться гражданам» или «гарантироваться для граждан» (Статьи 6.1 и 6.2). Значение данного термина открыто для толкования. Согласно Декларации факта (16) «основа регулирования не нужна, если электронные подписи применяются исключительно внутри систем, основанных на добровольных соглашениях в рамках частного права между определенным числом участников». Положения Директивы не применяются в отношении таких закрытых систем, поскольку «право сторон свободно договариваться об условиях, на которых они принимают данные, подписанные электронным способом, должно соблюдаться в пределах, разрешенных национальным законодательством». Поскольку Директива об электронных подписях прямо воздерживается от регулирования прав и обязанностей сторон в закрытой системе, кажется вероятным, что провайдеры сертификационных услуг, работающие в закрытой системе, также исключены из сферы действия положений Директивы, предусматривающих ответственность ПСУ, поскольку взаимоотношения сторон позволяют им определить собственные нормы ответственности.

В открытой системе зависимая сторона, как правило, не находится в договорных отношениях с провайдером сертификационных услуг, полагаясь тем самым на способность закона представить соответствующую систему ответственности. В закрытой же системе зависимая сторона может полагаться на ответственность ПСУ в рамках договора.

Выражение «выдающий гражданам» можно трактовать как относящееся к таким сертификационным услугам, которые открыты для проверяющих лиц, ранее не состоявших ни в какой связи с ПСУ.

1.6.3 «Гарантируемый для граждан»

В качестве альтернативы выдаче квалифицированных сертификатов гражданам, ПСУ также может нести ответственность в результате «гарантирования» квалифицированного сертификата «для граждан». Неясно, каким образом должна предоставляться такая гарантия. Конечно, требуемая гарантия — это более чем простое признание открытого ключа другого ПСУ, как это происходит при взаимной сертификации. В большинстве случаев гарантия будет предоставляться по договору между ПСУ и затем передаваться гражданам посредством регламентов сертификационной практики провайдера, выдавшего квалифицированный сертификат. Данная гарантия должна включать как минимум те пункты, которые упомянуты в параграфах (1) и (2) Статьи 6. Один из вариантов гарантирования сертификата упоминается в Статье 7.1 (b) Директивы (см. далее).

1.6.4 Основания возникновения ответственности Согласно Статье 6.1 Директивы, ПСУ, работающие в области применения данной нормы, отвечают за точность и полноту всей информации, содержащейся в сертификате, за личность подписывающего лица, которое владеет данными для создания подписи, соответствующими данным для проверки подписи, предоставленным или указанным в сертификате, а также за совместное использование данных для создания подписи и данных для проверки подписи, если ПСУ генерирует и те, и другие.

Следовательно, ПСУ должен контролировать является ли подписывающее лицо, которому выдается сертификат, также владельцем секретного ключа, соответствующего открытому ключу в сертификате. Это можно сделать, например, предложив подписывающему лицу использовать свой закрытый ключ для создания образца квалифицированной электронной подписи, который затем проверяется ПСУ.

1.6.5 Обоснованное доверие Ответственность ПСУ согласно Статьям 6.1 и 6.2 Директивы требует «обоснованного доверия» от стороны, потерпевшей ущерб.

Получатель электронной подписи, доверяющий одному или нескольким сертификатам при проверке этой подписи, вне всяких сомнений является в контексте данной нормы «зависимой стороной». Впрочем, в том, что касается подписывающего лица, ситуация выглядит еще более двусмысленной. Из формулировки Статьи не совсем понятно, касается ли она подписывающего лица.

Подписывающее лицо заключает договор с ПСУ в связи с выдачей сертификата. Тем самым, оказывается спорным, что ответственность ПСУ перед подписывающим лицом регулируется только условиями договора и национальным договорным правом, а положения Директивы об ответственности в отношении подписывающего лица не применяются. Учитывая тот факт, что положения Директивы, предусматривающие ответственность, не применяются в отношении закрытых систем, так как стороны в такой системе должны имеет право свободно согласовывать между собой условия обмена данными (см. Декларацию факта 16), можно поспорить с тем, что в отношениях между подписывающим лицом и ПСУ вопросы взаимной ответственности будут регулироваться положениями договора, которые действительны до тех пор, пока не затрагивают минимальные обязательства ПСУ в отношении зависимых третьих сторон.

Что же касается ответственности за ошибки в сертификатах, требование обоснованного доверия может быть особенно важным в контексте Статьи 6.1 (a) вариант 2 Директивы, где предусмотрена ответственность за полноту информации, содержащейся в сертификате. Сомнительно, что получатель квалифицированной электронной подписи мог бы считаться обоснованно доверяющим соответствующему сертификату, если бы данные, перечисленные в Приложении I Директивы, в этом сертификате отсутствовали. Возможно, при интерпретации понятия «обоснованный» в индивидуальном случае следовало бы принимать во внимание уровень технической компетентности потребителя.

Другим существенным вопросом является то, до каких пределов ПСУ может исключать «обоснованное доверие», ограничивая ответственность в своих постановлениях и условиях. Так как с точки зрения закона введение действительных норм, ограничивающих ответственность, представляется сомнительным ввиду отсутствия договорных отношений, требование обоснованности может открыть для ПСУ возможность ограничивать свою ответственность в случае возбуждения исков. Решение вопроса о наличии у зависимой стороны обоснованного доверия к сертификату, если данный сертификат исключает ответственность издателя в том, что не подпадает под Статьи 6.3 и 6.4, и о пределах, в которых эти ограничения ответственности будут действительны при возбуждении иска, будет зависеть от судов. Возможно, при ответе на этот вопрос будут приниматься во внимание правила и нормы, регулирующие ограничения ответственности при договорных отношениях.

Возможно, отказ (который, например, может появляться перед зависимой стороной при получении подписанного электронным способом сообщения), в котором ПСУ заявляет об ограничении своей ответственности, может быть использован для предотвращения «обоснованного доверия». Преимуществом такого метода может быть то, что зависимая сторона сталкивается с отказом предварительно — в отказе, например, может быть указано, что, доверяя сертификату, зависимая сторона соглашается с положениями, ограничивающими ответственность, либо с условиями ПСУ, на которых вводится такое ограничение ответственности.

1.6.6 Отсутствие халатности Строгая ответственность, в том виде, в котором она существует в законах об ответственности за продукцию,33 не востребована Директивой. Вместо этого, халатность провайдера является предпосылкой права на иск с целью возмещения ущерба. Данная предпосылка основывается на типичной ситуации зависимой стороны. Получатель подписи, которая оказывается неверной, зачастую оказывается не в том положении, чтобы анализировать технические причины сбоя, тогда как сам ПСУ имеет гораздо лучшее представление о своих организационных и технических действиях. Соответственно, Директива обременяет ПСУ доказательством отсутствия халатности, так как ПСУ обладает необходимыми техническими знаниями для расследования происшествия.

1.6.7 Ограничение ответственности Чтобы уменьшить финансовые риски, связанные с ответственностью, ПСУ будут изыскивать способы её ограничения. Директива предусматривает ряд ограничений ответственности. Эти ограничения должны быть признаны государствами-членами на том условии, что они включены в сам сертификат в форме, позволяющей третьим сторонам распознать их. Чтобы считаться действительными, все положения, предусматривающие ограничение ответственности, должны, как правило, предоставляться ПСУ партнеру по договору или зависимой стороне в ясной и удобочитаемой форме.

1.6.7.1 Ограничения ответственности в Директиве В Статьях 6.3 и 6.4 Директивы прямо предусмотрены некоторые ограничения ответственности. Например, ПСУ может ввести лимит стоимости для коммерческих транзакций. Если этот лимит нарушен, ПСУ «не будет нести ответственность за убытки в результате превышения этого максимального лимита». Если понимать формулировку Директивы буквально, это не кажется обширной возможностью для ограничения ответственности. Если установлена вина ПСУ, которая привела к возникновению ответственности, ущерб при успешном завершении дела, скорее всего, будет признан возникшим в результате халатности ПСУ, а не превышения максимального лимита транзакции. Тем самым, необходимо следовать трактовке Статьи 6, позволяющей ПСУ ограничивать ответственность, ссылаясь на указанную в сертификате максимальную величину транзакции.34 Большая часть опубликованной в настоящее время по данному вопросу юридической литературы трактует Статью 6.4 как позволяющую лишь относительно ограничить ответственность, подразумевая, что возможно ограничить только максимальную сумму каждой транзакции, но не общую ответственность за сертификат независимо от числа транзакций. Такая трактовка выглядит разумной, так как зависимая сторона неспособна проследить количество предшествующих транзакций, Директива Совета Европы № 85/374/EEC «О сближении законов, правил и административных норм государств-членов, относящихся к ответственности за дефектную продукцию», Официальный бюллетень L 141 от 04.06.1999, С. 20-21.

Различать предел ответственности ПСУ в целом и в рамках отдельного инцидента также рекомендуется Комитетом по безопасности научной и технологической информации Американской ассоциации юристов (ABA); см. http://www.abanet.org/scitech/ec/isc/ukkeyr1.html сделанных подписывающим лицом или объем ответственности за сертификат, «оставшийся» после этих транзакций.

Положения Директивы также предусматривают возможность указать на ограничения области использования сертификата, например, то, что сертификат может применяться только для определенных типов транзакций, в пределах конкретной компании, на территории отдельной страны или на территории Европейского сообщества. Если подписывающее лицо нарушает эти ограничения, используя сертификат для целей вне его, провайдер сертификационных услуг не будет нести ответственность за возникший в результате этого ущерб.

В зависимости от законодательства государств-членов, ограничения ответственности могут быть включены в сам сертификат, и такие ограничения должны быть приняты всеми государствами-членами; впрочем, национальное законодательство также может потребовать, чтобы ограничения упоминались в Регламенте сертификационной практики или отдельном регламенте, при условии, что они будут доведены до сведения зависимой стороны и подписывающего лица.

1.6.7.2 Ограничение ответственности вне рамок Директивы Вне сферы применения Директивы ответственность провайдеров сертификационных услуг регулируется национальным законодательством. Пределы ограничения ответственности, разрешенные законом, могут зависеть от ряда факторов, включая, например, «класс» сертификата.

1.6.7.3 Заявление об ограничении ответственности Принимая во внимание ограничения ответственности, уже включенные в Директиву, для ПСУ становится частой практикой устанавливать максимальный предел ответственности за квалифицированные сертификаты. Максимальный предел зачастую включает ответственность за все дополнительные услуги, за которые провайдер сертификационных услуг может быть привлечен к ответственности. Этот предел может, например, различаться в зависимости от качества выдаваемого сертификата. ПСУ, взаимно сертифицирующие других ПСУ, иногда явно задают ограничения применения таких сертификатов, чтобы избежать ответственности перед третьими зависимыми сторонами, отличными от ПСУ. В дополнение к этому, сертификат может включать ограничение, которое позволяет использовать его только для отдельных типов транзакций, например, для заключения договоров продажи движимого имущества.

В то время как ограничения ответственности, превышающие те, что предусмотрены Директивой, действительны только вне области применения Директивы, ПСУ может попытаться избежать потенциальной ответственности, прямо указав, что заявления подписывающего лица, не проверенные сертификатом, ни к каким обязательствам не ведут.

Более того, чтобы явным образом избежать обязательств в результате возможных конфликтов в связи с юридической силой цифровой подписи к отдельном контексте, ПСУ может пожелать указать, что он не гарантирует юридическую силу электронной подписи, заверенной его сертификатом. Хотя нет норм права, которые бы трактовали положения Европейской Директивы, предусматривающие ответственность, ПСУ нередко вводят ограничения ответственности, основанные на максимально узкой трактовке этих положений. Например, в настоящее время неясно, до каких пределов суды будут привлекать ПСУ к ответственности за косвенный ущерб от дефектного сертификата. Тем самым, исключение каких-либо форм ответственности за косвенный ущерб, понесенный подписывающим лицом или зависимой стороной, зачастую предусматривается в регламентах сертификационной практики многих ПСУ.

Чтобы увеличить вероятность судебного исполнения ограничений ответственности по отношению к третьим сторонам, в общую практику входит требование от третьей стороны согласия с условиями и положениями по использованию списков отозванных сертификатов перед тем, как предоставить ей доступ к спискам сертификатов или к сервису OCSP. Однако в данных целях утверждение, что зависимой стороне придется согласиться с этими условиями, если она доверяет сертификатам, выданным провайдером сертификационных услуг, может быть признано недостаточным, если невозможно установить, что зависимая сторона должна была принять эти условия во внимание перед использованием сертификата ПСУ для проверки подписи.

1.6.8 Бизнес-модель, на которой основана Статья Статья 6 Директивы возлагает ответственность за ущерб, возникший в результате халатности в ходе процесса регистрации, на плечи провайдера, выдающего квалифицированный сертификат. Это справедливо и в отношении ответственности за услуги по отзыву сертификатов. Это означает, что (единственной) бизнес-моделью, которая поддерживается в Статье 6, является та, в которой издатель сертификата несет ответственность за всю цепочку сертификатов.

Издатель сертификата — это провайдер, который подписал сертификат и занес в него свое имя. Даже если другой провайдер будет заниматься регистрацией или же если услуги по отзыву сертификатов будут предоставляться другим ПСУ, провайдер, чье имя фигурирует в сертификате, будет нести ответственность согласно Статье 6. Просто посмотрев на сертификат, зависимая сторона не будет извещена о разделении задач между различными провайдерами, включенными в цепочку сертификатов. Принимая бизнес-модель, которая возлагает весь объем ответственности на одного из этих провайдеров, Статья 6 стремится защитить зависимую сторону. На практике в договорах, заключаемых между ПСУ, которые входят в сертификационный путь, обычно предусматривается, что издатель сертификата освобождается от ответственности за все услуги в цепочке сертификатов, предоставляемые другими провайдерами. Это, конечно же, в полной мере соответствует положениям Директивы.

1.7 Прочие положения 1.7.1 Международные аспекты (Статья 7) Декларативная часть Директивы делает упор на то, что развитие электронной коммерции во всем мире требует международных соглашений, включающих третьи страны. Для обеспечения совместимости в мировом масштабе важную роль могут сыграть соглашения с третьими странами о многосторонних правилах взаимного признания сертификационных услуг. Статья 7 Директивы требует, чтобы государства-члены обеспечивали официальное признание сертификатов, выданных гражданам в качестве квалифицированных провайдером сертификационных услуг, учрежденным в третьей стране, равнозначными сертификатам, которые выданы учрежденным внутри Сообщества провайдером сертификационных услуг, при выполнении следующих трех условий:

Декларация факта (23).

(a) Провайдер сертификационных услуг выполняет требования, изложенные в Директиве и прошел аккредитацию по схеме добровольной аккредитации, учрежденной в государстве-члене;

(b) Провайдер сертификационных услуг, учрежденный в Сообществе и отвечающий требованиям, изложенным в Директиве, гарантирует данный сертификат;

(c) Сертификат провайдера сертификационных услуг официально признан в рамках двухили многостороннего соглашения между Сообществом и третьими странами либо международными организациями.

Первая возможность для ПСУ, учрежденного в третьей стране, получить официальное признание эквивалентности своих сертификатов сформулирована не очень ясно. Само собой разумеется, что таким ПСУ необходимо выполнять «требования, изложенные в Директиве». Проблема состоит в том, что, в отличие от своих конкурентов из ЕС, ПСУ, учрежденные в третьих странах, не подпадают под область действия какой-либо из национальных систем надзора, учрежденных в государствах-членах. Тем самым, требование «аккредитации» в данной норме является факультативным. Суть дела в том, что системы добровольной аккредитации необязательно занимаются контролем соответствия ПСУ требованиям Директивы. Напротив, Статья 3.2 прямо стимулирует создание всех видов систем добровольной аккредитации, нацеленных, например, на повышение уровня предоставляемых сертификационных услуг. Однако в целях Статьи 7. (a) система добровольной аккредитации, используемая ПСУ из третьей страны, должна, хотя и в этих целях, контролировать, соответствует ли данный ПСУ требованиям Директивы.

Согласно Статье 7.2, в целях содействия развитию международных сертификационных услуг с участием третьих стран и официальному признанию усовершенствованных электронных подписей из третьих стран, «Комиссия, там, где это возможно, будет вносить предложения по эффективному выполнению стандартов и международных соглашений, относящихся к сертификационным услугам. В частности, где это необходимо, она будет вносить в Совет предложения о передаче полномочий на ведение переговоров с целью заключения двух- и многосторонних соглашений с третьими странами и международными организациями. Решение Совета будет приниматься квалифицированным большинством».

Статья 7.3 предусматривает, что «если Комиссия будет извещена о каких-либо сложностях, с которыми столкнулись предприятия Сообщества в связи с доступом на рынки третьих стран, она может, при необходимости, представлять Совету предложения о выдаче соответствующего мандата на проведение переговоров в целях уравнивании прав для мероприятий Сообщества в этих третьих странах. Совет принимает решение квалифицированным большинством. Меры, принимаемые согласно этому параграфу, не должны ограничивать обязательства Сообщества и государств-членов по соответствующим международным договорам».

1.7.2 Защита данных (Статья 8) Государства-члены должны обеспечить соблюдение провайдерами сертификационных услуг и национальными организациями, отвечающими за аккредитацию или за надзор, требований, изложенных в Директиве Европейского парламента и Совета № 95/46/EC от 24 октября 1995 года о защите личности при обработке персональных данных и о свободном обращении этих данных. Согласно Статье 8.2, провайдер сертификационных услуг, выдающих сертификаты гражданам, может получать персональные данные только непосредственно от субъекта данных, либо с прямого согласия субъекта данных, и только в тех пределах, в которых это является необходимым для выдачи и обслуживания сертификата. Данные не могут собираться или обрабатываться в других целях без прямого согласия субъекта данных.

Без ущерба для юридической силы, которую псевдонимы получают по национальному законодательству, государства-члены не могут запретить провайдерам сертификационных услуг указывать в сертификате псевдоним вместо имени подписывающего лица. В Декларации факта (25) уточняется: «нормы, предусматривающие использование псевдонимов в сертификатах, не должны препятствовать государствам-членам в требовании удостоверения личностей по национальному законодательству или законам Сообщества».

В своем рабочем документе по службам сетевой аутентификации, принятом 29 января 2003 года,37 Рабочая группа по Статье 29, созданная на основе Европейской директивы о защите данных № 95/46/EC, подчеркивает, что ответственность в вопросах защиты данных ложится как на тех, кто разрабатывает системы сетевой аутентификации, так и на тех, кто обеспечивает функционирование этих систем (аутентификационные провайдеры).

Пока приложения PKI могут повышать секретность38, использование PKI связано с серьезными рисками для конфиденциальности. В настоящее время PKI очень часто бывают полностью основаны на сертификатах, удостоверяющих личность. С целью лучшей защиты личной тайны исследователи предложили шире применять атрибутивные сертификаты или, в общем смысле, сертификатов, удостоверяющих личные качества, а не личность. Эти сертификаты во многом похожи на билеты в кино или жетоны метро: каждый может удостовериться в их подлинности и в данных, которые в них указаны, но не более того. Более того, при этом невозможно установить связь различных действий, предпринятых одним лицом.

Держатели сертификатов могут определять, какая информация будет раскрыта и перед кем. К числу потенциальных применений относятся электронные деньги, электронные сборы за пересылку, управление цифровыми авторскими правами, псевдонимы для чатДиректива Европейского парламента и Совета № 95/46/EC от 24 октября 1995 года «О защите личности в отношении обработки персональных данных и о свободном обращении таких данных», Официальный бюллетень L 281 от 23.11.1995, С. 31.

http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2003/wp68_en.pdf т.е. использование цифровых подписей уменьшает постоянно возникающую необходимость идентифицировать личность (указывая дату рождения, адрес и т.д.) и гарантирует конфиденциальность связи путем шифрования сообщений.

Вопросы конфиденциальности, перечисленные выше, подробно обсуждаются в следующих источниках:

Служба Федерального уполномоченного по защите частной жизни, Конфиденциальность и инфраструктура открытых ключей: Руководящие указания для агентов, пользующихся PKI для осуществления связи или операций с частными лицами, http://www.privacy.gov.au/government/guidelines. Международная рабочая группа по защите данных в телекоммуникациях, Рабочий документ по аспектам цифровых подписей и инфраструктур открытых ключей, связанных с защитой данных, 28 августа 2001 года, Берлин, http://www.datenschutz-berlin.de/doc/int/iwgdpt/pubkey_e.htm. См. также: CLARKE, R., Privacy requirements of PKI (Требования к конфиденциальности инфраструктуры открытых ключей), доклад, представленный на конференции IIR по информационной безопасности в Канберре, 14 марта 2000 года, http://www.anu.edu.au/Roger.Clarke/DV/PKIPosn.html.

комнат, хранение информации о здоровье, электронное голосование и даже электронные ставки. 1.7.3 Комитет (Статьи 9-10) На основе Директивы об электронных подписях Комиссия получила ряд исполнительных полномочий, например, по Статье 3.4 (критерии назначения органов, проводящих аккредитацию) или по Статье 3.5 (публикация регистрационных номеров общепризнанных стандартов). В использовании этих полномочий Комиссии и представителям государств-членов оказывает содействие «Комитет по цифровым подписям».

К Комитету относятся Статьи с 4 по 7 Решения 1999/468/EC41. В Статье 4 приведено описание процедуры управления Комитетом:

1. Комиссии оказывает помощь управляющий комитет под председательством представителя Комиссии, состоящий из представителей государств-членов.

2. Представитель Комиссии представляет комитету проект предпринимаемых мер.

Комитет должен представить свое мнение по проекту в определенный срок, который может устанавливаться председателем в зависимости от срочности дела. В отношении решений, которые должны быть приняты Советом по представлению Комиссии, мнение выносится в порядке большинства, предусмотренного Статьей 205(2) Договора.

Голоса представителей государств-членов внутри комитета должны оцениваться в порядке, установленном данной Статьей. Председатель не голосует.

3. Без ущерба для применения Статьи 8 Комиссия может принимать меры, которые вступают в действие незамедлительно. Тем не менее, если эти меры не отвечают позиции комитета, Комиссия обязана тотчас же сообщить о них Совету. В таком случае Комиссия может отложить ввод в действие мер, о которых она приняла решение, на срок, установленный в каждом из учредительных документов, но ни в коем случае не превышающий три месяца со дня сообщения об этих мерах Совету.

4. Совет, действуя на основании квалифицированного большинства, может принять иное решение в течение срока, предусмотренного параграфом 3.

Согласно Статье 7:

1. Каждый комитет по представлению председателя принимает собственный регламент на основе стандартного регламента, который должен быть опубликован в Официальном бюллетене Европейского сообщества. Настолько, насколько это необходимо, существующие комитеты должны привести свои регламенты в соответствие со стандартным регламентом.

2. Условия и принципы открытого доступа к документам, применяемые в отношении Комиссии, распространяются и на комитеты.

3. Комиссия должна регулярно извещать Европейский парламент о действиях комитетов.

В этой связи она должна получать повестки собраний комитета, предоставленные комитетам планы мероприятий по выполнению актов, предусмотренных Статьей Договора, результаты голосования, общие протоколы собраний и перечни организаций По этому вопросу см. также: CHAUM, D., Achieving Electronic Privacy; Scientific American, August 1992, 96-101, а также BRANDS, S., Rethinking Public Key Infrastructures and Digital Certificates; Building in Privacy, MIT Press, 2000, 356 p.

и органов власти, к которым принадлежат лица, назначенные государствами-членами в качестве представителей. Европейский парламент также должен получать извещения всякий раз, когда Комиссия представляет Совету мероприятия или предложения о принятии мер.

4. Комиссия должна в течение шести месяцев после дня, когда это Решение вступило в силу, опубликовать в Официальном бюллетене Европейского сообщества перечень всех комитетов, содействующих Комиссии в реализации исполнительных полномочий.

Для каждого комитета в списке должен быть указан учредительный документ (документы), на основании которого он создан. Начиная с 2000 года, Комиссия также должна публиковать ежегодный отчёт о работе комитетов.

5. Ссылки на все документы, отправленные в Европейский парламент в соответствии с параграфом 3, должны быть опубликованы в реестре, который Комиссии следует создать в 2001 году.

Главными задачами Комитета являются разъяснение требований, изложенных в Приложениях к Директиве, критериев, упомянутых в Статье 3.4, и общепризнанных стандартов на продукты для электронной подписи, установленных и опубликованных в соответствие со Статьей 3.5.

1.7.4 Извещение (Статья 11) Государства-члены должны доводить до сведения Комиссии и других государств-членов следующее:

1. информацию о национальных системах добровольной аккредитации, включая любые дополнительные требования в соответствие со Статьей 3.7;

2. наименования и адреса органов, отвечающих в данных государствах-членах за аккредитацию и надзор, а также органов, упомянутых в Статье 3.4;

3. наименования и адреса всех отечественных аккредитованных провайдеров сертификационных услуг.

Информация, подлежащая передаче, и изменения к ней должны быть представлены государствами-членами в кратчайшие сроки.

1.7.5 Пересмотр Директивы (Статья 12) Через два года после ввода Директивы в действие Комиссия проведет пересмотр Директивы с целью, помимо всего прочего, убедиться, что развитие технологии либо изменения в правовой среде не создали препятствий для достижения целей, поставленных в Директиве. Она проанализирует результаты в смежных технических областях и представит отчет по данной теме Европейскому парламенту и Совету. Отчет будет, в частности, включать оценку вопросов гармонизации на основе полученного опыта. Там, где это необходимо, отчет должен быть дополнен законодательными предложениями.

1.7.6 Ввод в действие (Статья 13) Государства-члены должны транспонировать Директиву об электронной подписи до июля 2001 года и незамедлительно известить об этом Комиссию. Эти меры, будучи приняты государствами-членами, должны включать ссылку на Директиву или сопровождаться такой ссылкой в случае их официальной публикации. Государства-члены могут самостоятельно определить способ, которым они сделают данную ссылку.

Государства-члены должны представить Комиссии текст основных положений отечественного закона, который они примут в сфере регулирования настоящей Директивы.

Глава 2. Транспонирование Директивы Группа исследователей провела анализ законов, существующей практики и прецедентов во всех государствах-членах ЕС, странах ЕЭЗ, вступающих странах и в странахкандидатах, а также в Швейцарии. Группа обратила особое внимание на возможные пробелы в национальном законодательстве и возможные сложности реализации. Группа также искала проблемы, типичные для большего числа стран и способные стать помехой для практической реализации электронной подписи и связанных услуг в национальном и общеевропейском масштабе.

Поскольку европейские директивы не применяются непосредственно к частным лицам, таким как ПСУ, подписывающие лица и зависимые стороны, они должны быть реализованы в национальном законодательстве для того, чтобы начать действовать. В результате права и обязанности ЦС технически регулируются не самой Директивой, а национальными законами, которые были приняты в соответствие с Директивой.

Поскольку обязательную силу имеют только цели европейской директивы, а не то, каким образом их достижение обеспечивается национальными законодателями, Директива поразному вводится в действие в каждом из государств-членов.

Аналогично Главе I была соблюдена структура Директивы, а её реализация описывается постатейно.

2.1 Определения (Статья 2) Сравнивать определения из различных систем права всегда опасно, так как определение должно каждый раз рассматриваться в своем собственном правовом контексте.

«Электронная подпись» в определении одного национального законодательства, несомненно, может находиться в иных правовых условиях и иметь другие правовые последствия по сравнению с «электронной подписью» в контексте законов другой страны.

В данной главе приведен лишь обзор определений, не затрагивающий контекст, в котором каждое из них применяется.

2.1.1 Электронная подпись В Директиве «электронная подпись» определена как данные в электронной форме, присоединенные или логически связанные с другими данными, и служащие в качестве средства аутентификации (Статья 2.1).

Большинство государств-членов (например, Бельгия, Германия, Греция, Нидерланды, Испания, Великобритания) дословно транспонировали это определение в свое национальное законодательство. Некоторые страны-кандидаты и страны ЕЭЗ придерживаются близкого к Директиве определения (например, Чешская Республика, Литва, Норвегия).

Однако некоторые страны сужают предложенное ЕС широкое определение электронной подписи:

Ряд стран делают это путем определения конкретных задач аутентификации (Австрия, Италия) или давая определение термина «аутентификация» (Финляндия, Венгрия, Польша, Румыния и Исландия). Интересно, что, хотя Директива не дает никакого определения «аутентификации», лишь немногие страны определяют термин «аутентификация» как установление личности подписывающего лица (Австрия, Финляндия, Португалия, Польша, Румыния, Исландия) или заменяют термин «аутентификация» его функциями (Швеция: «используется для проверки того, что содержание документа получено от предполагаемого издателя, и не было изменено»).

Другие страны ограничивают назначение электронных подписей «методом компьютерной аутентификации» (Италия).

Другие страны сужают область применения данного определения, указывая, что подпись должна использоваться лицом (а не машиной) (Дания) и/или устанавливая технологические ограничения (Ирландия). Ирландия фактически указала на то, что электронная подпись должна включать «усовершенствованную электронную подпись». Интересно, что Норвегия определяет «электронную подпись» как «данные в электронной форме или электронную запись, которые логически связаны и неразрывно присоединены к другой электронной записи в целях аутентификации», требуя тем самым выполнения и логического связывания, и присоединения подписи.

Люксембург не включил заданное Директивой определение электронной подписи в свои законы, но указал на то, что электронная подпись состоит из строки данных, которая неразрывно связана с документом, гарантируя его целостность, идентифицируя подписывающее лицо и отражая отношение подписывающего лица к содержанию документа. Бельгийский закон об электронных подписях содержит аналогичное положение, помимо определения, данного Директивой.

Некоторые страны, не входящие в ЕС, дали определение электронной подписи, которое не является технологически нейтральным. Так было сделано в Эстонии («Цифровая подпись», использующая пару открытых ключей) и Болгарии («информация… с достаточной степенью защиты, основанной на потребностях рынка»).

В целом национальное законодательство большинства стран использует в определении «электронной подписи» в точности те же формулировки, что и Директива. Некоторые страны не стали дословно копировать определение из Директивы, но определили термин «аутентификация» либо указали функции электронной подписи.

2.1.2 Подписывающее лицо Директива определяет «подписывающее лицо» как лицо, владеющее устройством для создания подписи и действующее от своего имени либо от имени физического лица, юридического лица или объекта, которые оно представляет.

Ряд стран транспонировали это определение Директивы дословно (Франция, Люксембург, Испания, Великобритания, Румыния, Исландия) или близко к тексту (Греция, Ирландия, Нидерланды, Португалия, Норвегия).

К примеру, в Ирландии подписывающее лицо определено как лицо или государственный орган, владеющий устройством для создания подписей, и действующий в процессе применения подписи путем использования устройства от своего имени либо от имени лица или государственного органа, который он или она представляют.

Другие страны разработали иное определение подписывающего лица.

Наш корреспондент в Ирландии сообщает нам, что определение электронной подписи в Акте об электронной коммерции очень близко к определению в Директиве и включает два дополнения, которые должны уточнить определение, а не ограничивать его: 1) Ирландский вариант определения электронной подписи прямо включает усовершенствованную электронную подпись, и 2) определено понятие «электронный».

Например, Италия определяет подписывающее лицо как физическое лицо, которому приписывается электронная подпись и которое имеет доступ к устройству, предназначенному для создания электронной подписи.

Швеция, например, определяет подписывающее лицо как «физическое лицо, имеющее полномочия на управление устройством для создания подписи».

Венгрия определяет подписывающее лицо как «физическое лицо, с которым связаны данные для проверки подписи согласно списку данных для проверки подписи, опубликованному провайдером сертификационных услуг электронной подписи».

В законодательстве Словении предусмотрено простое определение: «лицо, которым или от имени которого создана электронная подпись».

Некоторые страны не дают определения термина «подписывающее лицо», но используют другую терминологию.

Например, в законодательстве Бельгии говорится о «владельце сертификата» — физическом или юридическом лице, которому был выдан сертификат;

В законодательстве говорится о «владельцах кодов подписи», которые являются физическими лицами, обладающими кодами подписи и которым в квалифицированных сертификатах был назначен соответствующий код проверки подписи.

Другие страны вообще не предусмотрели определения пользователей приложений электронной подписи (Эстония, Швейцария).

Следует отметить, что в законах Болгарии присутствуют два определения в отношении электронных подписей, а именно «владелец подписи» и «подписывающее лицо».

Владелец электронной подписи — это физическое или юридическое лицо, от имени которого производится электронная запись. Подписывающее лицо — это физическое лицо, уполномоченное делать электронные записи от имени владельца электронной подписи.

В некоторых государствах-членах велась дискуссия о том, должно ли подписывающее лицо обязательно быть физическим лицом, и эта дискуссия иногда отражается в правовых нормах, принятых некоторыми из государств-членов. С точки зрения Европейской Директивы, совершенно ясно, что электронная подпись может относиться не только к физическим лицам, но также и ко всем прочим типам объектов. Электронная подпись может, например, являться электронным заменителем печати отдельного правительственного управления или конкретного факультета в университете. Это логическое следствие очень широкого определения термина «электронная подпись» в Директиве. С другой стороны, ясно, что квалифицированная электронная подпись в контексте Статьи 5.1 Директивы может быть только подписью человека, так как она должна официально признаваться в качестве (электронного) эквивалента собственноручной подписи.

По тем же причинам юридическое лицо ни в коем случае не может считаться подписывающим лицом. Понятие «подписывающего лица» как лица, «владеющего»

устройством для создания подписи, бывает полезным в случаях, когда непонятно, какое лицо на самом деле является источником подписи. Хотя теоретически даже возможно отстоять такой довод, что подпись может быть непосредственно сопоставлена с юридическим лицом, в большинстве случаев по юридическим причинам оказывается очень важным идентифицировать человека, действовавшего от имени этого юридического лица. Определение «подписывающего лица» в Директиве предназначено для решения данной проблемы. Несмотря на временами чрезвычайно невразумительные и туманные положения об «электронных подписях юридических лиц» в некоторых государствах-членах, дискуссия главным образом остается чисто теоретической и её практические последствия, к счастью, незначительны.

2.1.3 Провайдер сертификационных услуг В Директиве провайдер сертификационных услуг (ПСУ) определен как объект, юридическое или физическое лицо, которое выдает сертификаты или предоставляет иные услуги, связанные с электронной подписью.

Большинство стран транспонировали это определение Директивы дословно (Греция, Ирландия, Люксембург, Нидерланды, Испания, Словения, Румыния) либо использовали аналогичный подход (Австрия, Бельгия, Франция, Италия, Португалия, Великобритания, Чешская Республика, Литва, Исландия, Норвегия).

Так, Бельгия определяет ПСУ как любое физическое или юридическое лицо, выдающие сертификаты и управляющее ими, либо предоставляющее иные услуги, относящиеся к электронной подписи.

Италия, например, упоминает ПСУ в качестве объекта (а не лица); Великобритания и Чешская Республика ссылаются только на «лицо».

Некоторые страны ограничивают определение ПСУ только выдачей сертификатов (Дания, Финляндия, Швейцария, Швеция).

Дания применяет термин Центр Сертификации вместо Провайдера сертификационных услуг.

Германия ограничивает функции ПСУ, действующей в пределах, установленных законом, выдачей квалифицированных сертификатов или квалифицированных меток времени.

В Болгарии, Венгрии и Польше прямо обобщены конкретные виды деятельности провайдера услуг, делающие его ПСУ (например, выдача сертификатов, фиксация времени). Национальные корреспонденты сообщили нам, что этот список должен считаться не ограничивающим, а примерным. Следует отметить, что в Эстонии провайдерами сертификационных услуг считаются только зарегистрированные агентства и лица.

В целом, определение ПСУ в национальном законодательстве большинства стран соответствует определению ЕС. Только несколько стран отклонились от этого определения, большей частью ограничив деятельность ПСУ лишь выдачей сертификатов.

2.1.4 Прочие определения Национальное законодательство некоторых стран включает определения, которые нельзя связать с формулировками Директивы.

Теоретические и временами эмоциональные споры о «подписи юридических лиц» могут привести к крайне искаженным юридическим положениям. Так, в Бельгии Статья 8, §3 закона от 9 июля 2001 года предписывает провайдерам сертификационных услуг, зарегистрированным в Бельгии, вести для каждого юридического лица, которому они выдают квалифицированный сертификат, реестр с удостоверением и функциями всех физических лиц, «использующих подпись юридического лица»!

Так, Ирландия определяет термин «электронный» как электрический, цифровой, магнитный, оптический, электромагнитный, биометрический, фотонный и любой другой вид связанной технологии.

Австрия включает определение «защищенной электронной подписи». Данное определение тесно связано с описанием электронной подписи в контексте Статьи 5. Директивы. Тем не менее, защищенная электронная подпись должна создаваться с использованием технических компонентов и процедур, соответствующих требованиям к безопасности, изложенным в федеральном законе Австрии и указаниях, изданных на его основе. Польша также вводит в оборот «защищенную электронную подпись», основанную на тех же принципах, что и в Австрии.

Германия, Италия, Португалия, Венгрия, Исландия и Норвегия предусматривают определение «квалифицированной электронной подписи». Данное определение отражает содержание Статьи 5.1 Директивы.

Болгария вводит в оборот новый вид подписи — «универсальную подпись». Данная подпись аналогична определенной в Статье Директивы квалифицированной электронной подписи, но связанный сертификат должен быть выдан аккредитованным провайдером сертификационных услуг.

Некоторые страны предусмотрели определения меток времени (Германия, Венгрия, Польша).

Так, Польша определяет метку времени как приложение к данным в электронном виде, логически связанное с данными, заверенными электронной подписью или путем аутентификации, содержащее определение времени и электронную аутентификацию (подтверждение) данных, созданных таким способом провайдером услуги.

2.2 Юридическая сила электронных подписей (Статья 5) 2.2.1 Юридически релевантные электронные подписи 2.2.1.1 Осуществление в Европе Все европейские страны, за исключением Кипра, который пока еще не транспонировал Директиву, признают возможность того, что электронные подписи могут быть юридически релевантными. Однако не всегда понятно, до какой степени электронные подписи могут быть юридически правомерными. Общим знаменателем классификации по этому вопросу является признание законом за подписью, соответствующей определению «электронной подписи» в национальном законодательстве, способности производить юридические последствия.

В ряде стран законодатели прямо подтверждают более или менее очевидный принцип, что электронные подписи пока не являются допустимыми во всех обстоятельствах, и некоторые процедуры остаются, по крайней мере на некоторое время, основанными на применении документов на бумажном носителе и собственноручных подписей.

Так, в Швеции юридические последствия собственноручной подписи не могут быть созданы при любых обстоятельствах электронными средствами.

Аналогичным образом в Норвегии: электронные подписи могут быть юридически релевантными только если в сфере, о которой говорится в акте, разрешено использование электронных средств связи.

В некоторых странах юридическая релевантность электронной подписи выражена на общих условиях:

В итальянском законодательстве прямо указано, что электронный документ с электронной подписью отвечает законному требованию о наличии документа. Из этого правила можно сделать вывод, что электронный документ, с которым совмещена электронная подпись, в принципе может быть связан с любыми юридическими последствиями, вытекающими из документа в письменной форме.

В Португалии электронная подпись, претендующая на эквивалентность собственноручной, должна подтверждать: i) личность подписывающего лица, ii) намерение сделать подпись и iii) целостность подписанного документа.

Аналогичным образом в Бельгии электронная подпись может служить доказательством так долго, пока можно с уверенностью установить: i) личность автора и ii) целостность подписываемого содержимого.

В обследованных странах англосаксонского права (Великобритания и Ирландия) форма подписи значения не имеет. Аналогично тому, как знак или символ приносит с собой определенные юридические полномочия, электронная подпись также может иметь юридическое значение, если она выполняет функции подписи.

В Чешской Республике термин «собственноручная подпись» не имеет определенного юридического значения. Следовательно, электронные подписи по своей сути имеют юридическую силу, если только принятый закон или акт не требуют наличия «официально удостоверенной подписи» (подписи, сделанной нотариусом).

В некоторых странах юридическая сила подписи также может происходить от функций подписи. Эти функции (помимо или отличные от функции аутентификации) прямо указаны в определении электронной подписи в данной стране.

В Швеции и Дании электронная подпись должна одновременно обеспечивать аутентификацию источника данных и целостность данных.

В Португалии электронная подпись должна показывать, кто является автором данного электронного документа.

В Люксембурге, помимо аутентификации (обозначения) источника данных и целостности данных, электронная подпись также должна служить для указания на обязательства подписывающего лица в отношении содержимого акта.

2.2.1.2 Вывод Все европейские страны, транспонировавшие Директиву, признали релевантность электронной подписи либо (i) с ограничениями, либо (ii) на общих условиях, либо (iii) связав электронную подпись с конкретными функциями, которые главным образом излагаются в определении подписи в национальных законах (например, Швеция, Португалия). В некоторых случаях юридическое значение может быть выведено из самого закона (например, в Бельгии) или из судебной практики (например, в Великобритании).

2.2.2 Электронные подписи, эквивалентные собственноручным подписям (Статья 5.1) 2.2.2.1 Напоминание Согласно Статье 5.1 Директивы, электронная подпись считается равносильной собственноручной подписи во всех государствах-членах, если она отвечает следующим требованиям:

1. Соответствует четырем функциональным требованиям к квалифицированной электронной подписи;

2. Основывается на квалифицированном сертификате (КС);

3. Создана при помощи защищенного устройства для создания подписей (SSCD).

Тем самым данная норма создает (опровержимую) презумпцию того, что любая электронная подпись, выполняющая эти требования, считается соответствующей законным требованиям к подписи в отношении к данным в электронной форме аналогично тому, как собственноручная подпись соответствует им в отношении к данным на бумажном носителе.

Статья 5.1 не дает явного наименования для электронной подписи, отвечающей вышеперечисленным условиям. Тем не менее, с целью разграничить данную подпись и другие формы подписи, которые не имеют того же уровня функциональной безопасности, в правовой доктрине и юридической практике электронный эквивалент собственноручной подписи обычно обозначается термином «квалифицированная электронная подпись».

Сверх того, говоря о признании юридической равносильности, та же Статья во втором параграфе (пункт (b)) повторно подтверждает допустимость использования квалифицированной электронной подписи в качестве доказательства в судебных процессах.

2.2.2.2 Реализация в Европе При анализе ввода в действие Статьи 5.1, страны по горизонтальному принципу можно поделить на те, которые:

Более или менее дословно транспонировали рассматриваемую норму (дословное транспонирование);

Приспособили свое законодательство к целям этой нормы (транспонирование «в общем»), определив условия, отличные от установленных в Директиве;

Не признали юридическую равнозначность для всех случаев;

Не реализовали данную норму явным образом (нет прямого транспонирования).

i. Дословное транспонирование Страны-члены ЕС, Бельгия, Греция, Финляндия, Португалия и Испания ввели в свое законодательство прямо сформулированное положение, в целом повторяющее текст Статьи 5.1.

Две страны из этого списка, Португалия и Испания, в своем национальном законодательстве даже прямо назвали и определили термин «квалифицированная электронная подпись».

Следует отметить, что в Бельгии законом установлена даже более сильная формулировка, чем в Статье 5.1, так как она прямо уподобляет квалифицированную электронную подпись собственноручной.

Греческий закон об электронных подписях прямо транспонирует пункты (a) и (b) Статьи 5.1, указывая, что квалифицированная электронная подпись является равносильной собственноручной как в материальном, так и в процедурном праве.

Наконец, в законах Португалии из факта приложения к документу квалифицированной электронной подписи выводятся три предположения: i) лицо, сделавшее электронную подпись, является её владельцем; ii) электронная подпись была сделана с намерением подписать документ и iii) электронный документ не был изменен.

Из числа вступающих стран и стран-кандидатов Мальта, Литва, Латвия, Польша (см.

также классификацию, приведенную ниже) и Румыния транспонировали Статью 5.1 явно сформулированным положением в своем законодательстве об электронной подписи.

В дополнение к этому законодательство Литвы повторяет основное правило о том, что подписывающие лица могут по соглашению установить юридическую силу применяемой подписи (таким образом, они могут признать законную силу собственноручной подписи за другими, отличными от квалифицированной, видами электронной подписи).

Нормы закона Латвии об электронных документах повторно подтверждают это соответствие, хотя условия слегка отличаются от терминологии Статьи 5. (квалифицированная электронная подпись названа защищенной электронной подписью, SSCD — это все защищенные средства создания электронных подписей, а КС — это сертифицированный сертификат).

Польский закон об электронных подписях также явно указывает, что электронные документы, подписанные при помощи защищенной электронной подписи (соответствует усовершенствованной электронной подписи, созданной защищенным устройством для создания подписей), которая проверяется посредством действительного КС, имеют юридические последствия, равнозначные документам, которые подписаны собственноручной подписью.

В Румынии Акт отождествляет электронные документы, включающие подпись на основе КС, созданную на SSCD, с документами, заверенными личной подписью. Кроме того, закон уточняет, что, если письменная форма требуется в качестве доказательства или условия действительности официального документа, то в таких случаях, как предусмотрено законом, электронный документ отвечает данному требованию при условии использования квалифицированной электронной подписи. Проект Акта об электронных подписях Лихтенштейн явно предусматривает эквивалентность на тех же условиях.

Что же касается стран ЕЭЗ, Исландия дает явное определение квалифицированной электронной подписи и в более сильных формулировках, чем Статья 5.1 Директивы, а именно: квалифицированная электронная подпись по законам Исландии должна всегда считаться соответствующей требованию о наличии подписи.

ii. Транспонирование «в общем»

Следует отметить, что законодательство ряда стран признает действие Статьи 5.1 (что определенные электронные подписи должны считаться юридически равнозначными собственноручным подписям), но делает это путем: i) явного или неявного перевода этого правила в основные общие законы (Гражданский кодекс, Гражданский процессуальный кодекс, и т.д.), ii) определения условий официального признания равносильности, отличных от указанных в Статье 5.1, либо iii) связывания презумпции юридической равносильности с подписями, отличными от квалифицированных.

К первой категории (i) относится законодательство Франции, Германии, Люксембурга, Польши и Венгрии.

В Гражданский кодекс Франции были внесены изменения, которые ввели юридическую равносильность электронной подписи собственноручной при выполнении определенных условий: надежность процесса идентификации и связи между подписью и подписанными данными. Предполагается, что электронная подпись, отвечающая требованиям к квалифицированной электронной подписи, которые предписаны французским законодательством, выполняет требования к надежности процесса создания подписи. Как и в Директиве, французская квалифицированная электронная подпись представляет собой усовершенствованную электронную подпись, основанную на квалифицированном сертификате, и созданную защищенным устройством для создания подписей. Незначительное отличие от Директивы состоит в том, что во французском законодательстве предусмотрена не презумпция «равносильности», но презумпция «надежности»: с использованием квалифицированной электронной подписи предполагается, что последующий процесс создания подписи будет достаточно надежным, чтобы соотнести электронную подпись с последствиями собственноручной подписи.

В том, что касается Германии, закон в явном виде не предусматривает юридическую действительность квалифицированной электронной подписи, хотя её определение в законе об электронных подписях есть. Юридическая действительность может быть выведена путем ссылки на пять базовых законов: (1) изменения в Гражданском кодексе Германии, вводящие юридическую действительность электронных документов (то, что электронная форма может в общем служить заменителем письменной формы), а также (2) новая норма Гражданского кодекса, определяющая, что «квалифицированные» электронные подписи, которые основаны на квалифицированных сертификатах и созданы при помощи SSCD, отвечающие требованиям немецкого закона об электронных подписях, предположительно являются равносильными собственноручным подписям. Более того, Гражданский процессуальный кодекс создает презумпцию для «квалифицированных» электронных подписей, используемых в целях доказательства. Согласно этому закону, электронная подпись составляет, в порядке опровержимой презумпции, доказательство того, что она обеспечивает «подлинность» декларации намерения, подписанной при помощи квалифицированной электронной подписи. Помимо Гражданского кодекса (только для частного сектора) и Гражданского процессуального кодекса, существуют три основных кодекса для государственного сектора, регулирующие электронную форму документа так же, как и письменную: Административно-процессуальный кодекс, Общий налоговый кодекс и Общий социальный кодекс.

В Люксембурге принятие Акта об электронной коммерции (данный закон также включает положения о юридической действительности электронных подписей) поставило собственноручные и электронные подписи в равные условия. В Гражданский кодекс Люксембурга были включены изменения, которые подтверждают, что частный акт, имеющий юридические последствия (незасвидетельствованный договор), может быть подписан при помощи собственноручной или электронной подписи. Кроме того, в Гражданском кодексе ясно указано, что незасвидетельствованный договор равносилен подлинному акту до тех пор, пока могут быть представлены надежные гарантии сохранения целостности его содержания с первого дня после его создания в стабильной форме.

Гражданский кодекс Польши указывает, что декларация намерения, подписанная при помощи квалифицированной электронной подписи, равносильна декларации в письменном виде.

Аналогичные изменения были внесены в Гражданский кодекс и Гражданский процессуальный кодекс Венгрии. Следует отметить, что венгерское законодательство не различает понятия «собственноручной» подписи. Тем самым, равносильность собственноручной и другой подписи обеспечивается на уровне документа (электронного документа) и электронного акта. С одной стороны, Гражданский кодекс Венгрии включает правило, гласящее, что электронные акты, подписанные при помощи усовершенствованной электронной подписи, считаются договорами, заключенными в письменной форме. С другой стороны, Гражданский процессуальный кодекс провозглашает, что частные акты имеют полную доказательную силу, если на электронный акт помещена квалифицированная электронная подпись.

Во вторую категорию (ii) попадает законодательство Австрии, Нидерландов, Чешской Республики, Польши (в дополнение к категории (i)), Словении и Болгарии.

Некоторые из упомянутых выше стран связывают квалифицированную электронную подпись с требованиями к безопасности, сформулированными более широко по сравнению с применяемыми в SSCD.

В этом смысле, в законодательстве Австрии указано, что защищенная подпись должна отвечать требованиям о наличии письменного документа, определенным в Гражданском кодексе Австрии. Тем не менее, защищенная подпись в австрийском варианте может быть создана при помощи «технических компонентов и процедур, соответствующих требованиям к безопасности, указанным в нормативных актах Австрии». Данную фразу можно понять так, что она означает не только устройство использованное для создания подписи (SSCD) в узком смысле, но и процедуру подписи в целом и компоненты приложения, используемого для создания подписи.

Аналогично этому, в законе Нидерландов говорится о «надежности применяемого метода аутентификации». Следовательно, любая электронная подпись, основанная на надежном методе аутентификации, имеет те же юридические последствия, что и собственноручная подпись. Тем не менее, в законе установлена презумпция в пользу квалифицированной электронной подписи. Таким образом, метод считается «достаточно надежным», если подпись отвечает функциональным требованиям к квалифицированной подписи (условия те же, что в Директиве). Отмечаем, что законодательство Нидерландов аналогично в этом плане французскому.

В других странах требования на уровне определения «усовершенствованной»

электронной подписи оказываются выше.

Так, это касается законодательства Польши, где использование SSCD предполагается уже на уровне «усовершенствованной» электронной подписи (называемой защищенной электронной подписью).

Тому же подходу в своих актах об электронных подписях следуют Словения и Чешская Республика.

К третьей категории (iii) можно отнести две страны (Италию и Эстонию). Эти страны ссылаются на одну конкретную технологию, а именно технологию «цифровой подписи».

По законам Италии, цифровые подписи, по-видимому, рассматриваются на одинаковых основаниях с квалифицированными электронными подписями (квалифицированные электронные подписи явно определены, требования те же, что и в Директиве). Соответственно, электронный документ имеет полную силу в качестве доказательства, если он подписан цифровой подписью или квалифицированной электронной подписью.

Эстонский Акт о цифровых подписях регулирует только один тип подписи, а именно цифровую подпись. Эта подпись аналогична квалифицированной электронной подписи в Директиве, с тем лишь дополнительным требованием, что цифровая подпись должна содержать указание времени подписи. Цифровая подпись по законам Эстонии автоматически получает юридическое значение в любых частных, деловых или административных отношениях, если на такую равносильность нет прямого запрета в специальном законодательстве. Далее законодательство Эстонии предусматривает, соответственно, презумпцию в пользу этой подписи: тем самым любая подпись, отвечающая требованиям к цифровой подписи, считается ведущей к юридическим последствиям собственноручной подписи.

Болгария фактически подпадает под обе категории (ii) и (iii).

Болгарское законодательство в области электронной подписи различает три уровня подписей: электронную подпись (де-факто соответствует усовершенствованной электронной подписи в Директиве), квалифицированную подпись (аналогична «квалифицированной» электронной подписи в Директиве) и «универсальную»

электронную подпись («квалифицированная» электронная подпись, основанная на сертификате, который выдан ПСУ, зарегистрированным по специальной процедуре).

Закон Болгарии прямо указывает, что усовершенствованная и «квалифицированная»

электронные подписи равносильны собственноручным подписям главным образом между сторонами-частными лицами. Универсальная подпись, напротив, имеет юридическую силу собственноручной даже в отношениях с государственными и местными органами власти, а также между ними (если Советом министров не будет принято решение использовать в конкретном контексте другой тип электронной подписи). В связи с этим, судя по всему, законодательство Болгарии предусматривает следующее: i) Усовершенствованная и «квалифицированная» электронная подпись рассматриваются на равных условиях, но имеют ограниченную область применения, в то время как универсальные подписи (ведущие к дополнительным процедурным требованиям к ПСУ, которые выдают квалифицированные сертификаты) при любых обстоятельствах обладают юридической силой собственноручных подписей.

iii. Эквивалентность только при разрешенном электронном обмене сообщениями Законодатели скандинавских стран стремятся подтверждать более или менее очевидный принцип, состоящий в том, что квалифицированная электронная подпись может считаться равносильной собственноручной подписи только в тех случаях, когда закон разрешает применение электронных средств. Такое явление имеет место в Дании, Швеции и Норвегии.

По законам Швеции, предпосылкой признания эквивалентности квалифицированной и собственноручной подписей является то, что требование закона о наличии собственноручной подписи может быть удовлетворено электронными средствами.

Соответственно, «квалифицированная» электронная подпись не отвечает требованию «поставить (собственноручную) подпись» автоматически, но только в случаях, когда закон позволяет удовлетворить формальное требование электронными средствами.

Законодательство Дании устанавливает те же условия. Кроме того, оно предусматривает, что, как только эти условия удовлетворены, данное правило становится в равной степени применимым к обмену документами для или от государственных органов, если иное не предусмотрено специальным законодательством.

Норвежское законодательство использовало тот же подход. Эквивалентность собственноручных и квалифицированных электронных подписей не основывается на общих положениях, а связывается с двумя условиями: i) закон требует, чтобы для возникновения юридических последствий акт был подписан и ii) в той области, к которой относится акт, разрешен электронный обмен сообщениями.

iv. Без прямого транспонирования В некоторых странах Статья 5.1 Директивы не была явным образом транспонирована. Так произошло в Великобритании, Ирландии, Чешской республике и Швейцарии.

В том, что касается Великобритании и Ирландии, отсутствие транспонирования Статьи 5.1 как таковое не означает, что способность электронной подписи вызывать юридические последствия, аналогичные собственноручной подписи, там не признается. Напротив, в обеих правовых системах электронная подпись может рассматриваться как эквивалент собственноручной, в той мере, в которой она способна выполнить функциональные требования к подписи.

Поскольку законодательство Великобритании не различает понятия «собственноручной подписи», не было необходимости явным образом заявлять в законодательстве о том, что электронная подпись может выступать в качестве эквивалента или какой-либо альтернативы. Тем не менее, в различных законодательных актах в целом признается, что электронная подпись является действительной формой подписи в конкретной сфере права.

Законодательство Ирландии предусматривает, что любая электронная подпись может быть использована вместо собственноручной, и с теми же последствиями, при следующих условиях: i) получатель выражает согласие на применение электронной подписи и ii) в случаях, когда получателем является государственная организация или орган управления, соблюдаются любые требования к информационной технологии и процедурам, установленные этим органом. Напротив, ирландское законодательство определяет конкретные (и довольно строгие) функциональные требования для запечатывания документов электронным способом и для освидетельствования электронных подписей электронными средствами (т.е. подпись, подлежащая освидетельствованию, должна быть усовершенствованной).

С другой стороны, в Акте об электронных подписях Чешской республики принят достаточно узкий подход при определении юридических последствий гарантированной электронной подписи (аналога усовершенствованной электронной подписи по чешским законам). Соответственно, в законе указано, что использование гарантированной электронной подписи, основанной на квалифицированном сертификате и защищенном процессе создания подписи, позволяет получателю проверить, было ли сообщение подписано лицом, указанным в квалифицированном сертификате. Похоже, что, учитывая отсутствие понятия «собственноручная подпись»

в законодательстве Чешской республики, было бы излишне предусматривать эквивалентность (автоматическую или нет) собственноручных и электронных подписей.

Наконец, в Швейцарии указ, регулирующий предоставление услуг электронной сертификации (в настоящее время это единственный закон, относящийся к электронным подписям) вообще не упоминает о какой-либо «эквивалентности»