«Юридические и коммерческие аспекты ввода в действие Директивы 1999/93/ЕС и практическое применение электронных подписей в странах-членах ЕС, ЕЭЗ, странах, вступающих в ЕС и странах-кандидатах Правовые и рыночные аспекты ...»

Целью Статьи 5.2, конечно же, никогда не был ввод в действие (в настоящем или в будущем) более или менее уникальной стандартизированной европейской электронной подписи, пригодной для использования в различных законных операциях. Это будет очень опасная стратегия, из тех, что законодатели всегда стремятся избежать. Чтобы сохранять стабильность и избегать постоянных изменений и дополнений, в законах формулируют лишь правила, и очень редко описывают, как эти правила должны выполняться. На вопрос «как» дают ответ стандарты, которые по определению имеют добровольный характер.

Пока люди выполняют правило, они сами решают, как это делать. Иногда законодательство прямо ссылается на стандарты, но только в тех пределах, насколько это необходимо, и ссылка на конкретный стандарт обычно трактуется как обязательное требование.

Эти базовые принципы следует иметь в виду при трактовке Статьи 5.1 Директивы. С их учетом ссылку на (стандартизированную) «квалифицированную электронную подпись» не следует толковать расширительно. Соответствие требованиям квалифицированной электронной подписи ведет лишь к презумпции соответствия собственноручной подписи.

Статья 5.2 прямо запрещает нарушать это ограничение и использовать концепцию квалифицированной электронной подписи в других целях.

Следует также пояснить, что Статья 5.2 не относится только к юридической допустимости использования электронных подписей в качестве доказательств в судопроизводстве. Эта норма является руководством не только для судей стран-членов, но и для их законодателей. В Статье 5.2 также упоминается отказ в юридической силе.

Из-за этого Статью 5.2 можно назвать «нормой длительного действия». Европейские законодатели не стремились использовать понятие «квалифицированной электронной подписи» вне контекста Статьи 5.1. Как только отпадет необходимость искать «автоматический» электронный аналог собственноручной подписи, от этого понятия нужно будет отказаться. С того момента любая разновидность электронной подписи должна будет оцениваться только с точки зрения её объективной адекватности в конкретном контексте.

Как же теперь рассматривать многочисленные нормы, принятые странами-членами и прямо требующие использования электронных подписей на основе квалифицированных сертификатов, выданных аккредитованным провайдером сертификационных услуг? Разве эти нормы не противоречат Статье 5.2? Ответ состоит в том, что большинство из этих национальных норм основывается на исключении для государственного сектора, предусмотренном Статьей 3.7 Директивы; впрочем, следует иметь в виду пределы и ограничения использования этого исключения, которые были разъяснены в данном отчете выше.

Рекомендации В том, что касается применения Статьи 5.2, существует насущная потребность в дополнительных разъяснениях. Все заинтересованные стороны должны быть лучше осведомлены о цели и области применения данной нормы.

Комиссия должна систематически проверять, принимали ли страны-члены законодательство, относящееся к квалифицированным или аккредитованным электронным подписям, и определять, отвечают ли эти ссылки правилам Статьи 5.5 Создание благоприятного климата Помимо целей на внутреннем рынке и содействию официальному признанию электронных подписей во всей Европе, в цели Директивы также входит создание в ЕС благоприятного климата для применения электронных средств связи и электронной коммерции. Эта цель зачастую неправильно понималась. Европейскую Директиву часто критиковали за неспособность обеспечить широкое применение (основанных на PKI) электронных подписей в Европе.

5.5.1 Влияние на рынок Стало совершенно очевидным, что ввод в действие в Сообществе единой правовой основы для электронных подписей никогда не мог привести к массовому запуску PKI. Это никогда не являлось целью европейского законодательства. Конечно, Директива должна способствовать применению электронных подписей и содействовать безопасности электронной коммерции — но только путем устранения некоторых возможных юридических препятствий.

В контексте самой Директивы, её главной целью было защитить внутренний рынок с целью географического расширения рынка европейских производителей и провайдеров услуг. Во вторую очередь она способствует юридическому признанию электронных подписей, устраняя тем самым юридические барьеры для совершения в Европе международных электронных операций. Ясно, что цели Директивы не были реализованы полностью. Директива вызвала к жизни целую серию национальных правовых систем, за которыми не последовало создание единой для всей Европы среды применения электронных подписей. В предыдущих параграфах мы рассказали, что можно сделать для исправления этой ситуации.

В цели создателей Директивы никогда не входило содействовать запуску PKI для электронных подписей в Европе. Потребность в этом не зависит от наличия всесторонней правовой базы. Однако, возможно, стоит изучить, что можно сделать для стимулирования использования электронных подписей и защищенных электронных средств связи в целом.

На наш взгляд, необходимо предпринять конкретные действия в сфере стандартизации.

Более того, возможно принятие ряда инициатив с целью повысить общий уровень доверия к электронным подписям, например, в большей степени учитывая интересы пользователя.

5.5.2 Стандартизация Что касается стандартов безопасности в отношении квалифицированных электронных подписей из Директивы, то в настоящее время существует только один комплект стандартов. Они были разработаны EESSI и основаны на технологии PKI, так как требования Статьи 5.1 предполагают использование сертификатов. Это может помешать применению других технологий для квалифицированных электронных подписей, и повредить использованию PKI для других электронных подписей.

Комиссия и страны-члены должны способствовать продолжению работы над стандартами, относящимися к Приложению II (f) и Приложению III, чтобы содействовать применению альтернативных технологий для квалифицированных электронных подписей. Хотя действующие стандарты по большей части являются технологически нейтральными (в рамках PKI), они, например, все равно отдают предпочтение смарт-картам в качестве SSCD.

В то же время жизненно важно обеспечить, чтобы актуальность стандартов, включенных в Официальный бюллетень, поддерживалась в течение длительного времени. Это можно достигнуть либо посредством передачи CWA более долговременным организациям, например, ETSI, либо путем повышения статуса CWA до уровня Европейских Норм.

Разработку общих описаний алгоритмов и параметров, используемых для электронных подписей, необходимо было сделать намного раньше на европейском уровне, например, через EESSI. Отсутствие в настоящее время общепризнанных спецификаций приведет к проблемам с совместимостью и отсутствию признания за рубежом. Ситуация такова, что ряд национальных спецификаций чаще всего публикуются только на национальных языках. Это потенциально может стать рыночным барьером.

Отсутствие совместимости на национальном и международном уровне — это большая помеха принятию на рынке и распространению электронных подписей. Оно привело к появлению множества изолированных «островов» в сферах применения электронной подписи, где для конкретной области применения могут использоваться сертификаты только одного центра сертификации. Только в небольшом числе случаев сертификаты нескольких центров могут использоваться для нескольких приложений. По этой причине ещё раньше следовало гораздо больше сделать для обеспечения совместимости на европейском уровне.

Хотя EESSI работала над стандартами совместимости, эти стандарты неохотно принимались рядом стран-членов и тем самым не привлекли к себе необходимого внимания на ранней стадии.

Хотя Комиссия спонсировала ряд проектов по исследованию и разработке, связанных с обеспечением совместимости (pki Challenge, ESTIO, TIE), результаты этих проектов никак не проявились ни на рынке ни, конечно же, в сферах применения электронных подписей.

Разработка, содействие и применение стандартов совместимости теперь должны осуществляться на европейском уровне. На национальном уровне они приведут к принятию множества различающихся стандартов, которые, в свою очередь, воспрепятствуют международному применению электронных подписей, одновременно предъявляя разные требования к производителям на каждом из национальных рынков и уменьшая вероятность адаптации производителями своих продуктов к требованиям стандартов. Мы можем только надеяться на совместимость стандартных продуктов, если общеевропейские требования будут доведены до производителей.

Рекомендации Комиссия и страны-члены должны обеспечить правильную реализацию странамичленами презумпции соответствия стандартам, включенным в Официальный бюллетень. В настоящее время это сделано не во всех европейских странах.

Комиссия и страны-члены должны способствовать продолжению работы над стандартами, относящимися к Приложению II (f) и Приложению III, чтобы содействовать применению альтернативных технологий для квалифицированных электронных подписей. Хотя действующие стандарты по большей части являются технологически нейтральными (в рамках PKI), они, например, все равно отдают предпочтение смарт-картам в качестве SSCD.

Важно обеспечить, чтобы актуальность стандартов, включенных в Официальный бюллетень, поддерживалась в течение длительного времени. Это можно достигнуть либо посредством передачи CWA более долговременным организациям, например, ETSI, либо путем повышения статуса CWA до уровня Европейских Норм.

Комиссия должна срочно обеспечить принятие единой спецификации алгоритмов и параметров, а также единой процедуры поддержания её актуальности. Комиссии также следует обеспечить, чтобы соответствующие процедуры были достаточно Сложности в сфере архивации и подтверждения подлинности электронных документов в течение долгого времени часто воспринимаются как препятствия для применения электронных подписей. Комиссии следует содействовать работе над руководящими указаниями и стандартами в данной области.

Комиссия и страны-члены должны найти механизмы продвижения/рекомендации стандартов совместимости, уже разработанных ETSI в рамках системы EESSI.

Комиссия должна оказать поддержку работе над методами электронной аутентификации, проводимой в EUCLID и CEN Workshop, направив ее в сторону разработки соответствующих европейских стандартов и учитывая результаты работы EESSI, pki Challenge и других проектов.

Комиссия могла бы созвать или содействовать созданию европейского форума по электронным подписям, нацеленного на ПСУ, производителей продуктов и провайдеров приложений, с целью стимулировать разработку и применение стандартов совместимости, возможно также посредством создания тестовых лабораторий.

5.5.3 Взгляд с позиции пользователя Наши последние соображения относительно правовой основы касаются пользователя. На наш взгляд, совершенно необходимо уделить больше внимания проблемам пользователя во всех дискуссиях, связанных с европейской системой правового регулирования электронных подписей. Недостаточное внимание к пользователям было более или менее постоянной темой как официальных дискуссий, так и деятельности по стандартизации, связанной с Директивой. Коммерческие и/или технические вопросы неизбежно имели пальму первенства во всех дискуссиях в этой области, что привело к созданию правовых и технических решений, очень далеких от потребностей среднего пользователя.

Что же касается стандартизации, то, возможно, было бы полезно систематически анализировать действующие документы в области стандартизации с точки зрения пользователя. В отношении квалифицированных электронных подписей целью деятельности по стандартизации должна быть разработка спецификаций решения, дающего пользователю возможность использовать электронные подписи в масштабе всей Европы. Это решение должно учитывать все аспекты электронных подписей, не только охватывая всю цепочку подписей, но и учитывая интересы обычных пользователей, касающиеся простоты применения, языковых барьеров, стоимости и т.д.

В отношении правовой системы, возможно, потребуется более практический подход.

Директива в первую очередь ориентируется на единственную бизнес-модель, которая находилась в центре внимания с 1998 по 2000 год, но затем постепенно вытеснялась в силу более сложной и неоднозначной рыночной ситуации. По этой причине регулирующие документы включают, например, очень подробные правила для издателей сертификатов, но ничего не говорят о других категориях провайдеров сертификационных услуг. Такие услуги, как фиксация времени, отзыв сертификатов, репозитории и архивное хранение, могут предлагаться третьими сторонами, связанными договорными отношениями с органом, выдающим сертификаты. При этом потребность в регулировании применительно к другим категориям провайдеров трастовых услуг как минимум не уступает этой потребности в отношении провайдеров сертификационных услуг. Так, существует явная потребность в регулирующих документах для провайдеров архивных услуг или услуг зарегистрированной почты. С точки зрения пользователя сложно понять, почему предоставление таких услуг никак не регулируется, в то время как в отношении издателей сертификатов созданы сложные системы правового регулирования. В связи с этим мы рекомендуем провести дальнейшие исследования в отношении других категорий провайдеров трастовых услуг.

И последнее, хотя и не менее важное: необходимо совместить электронную аутентификацию с защитой персональных данных. Действующая в Европе система правового регулирования главным образом ориентируется на использование сертификатов личности (identity certificates). В последнее время в центр внимания попало улучшение защиты частной жизни в сетевой среде. Были проведены исследования различных возможностей совмещения электронной аутентификации с необходимостью сохранения анонимности или использования нескольких виртуальных личностей.

Инициативы Евросоюза по продвижению современных методик защиты персональных данных своих граждан не должны противоречить правовой базе в области электронных средств аутентификации. Необходимы дальнейшие изыскания путей совмещения анонимности и применения псевдонимов с положениями Директивы об электронных подписях.

Команда исследователей осознает, что сделанные её выводы и рекомендации можно считать лишь первым шагом в анализе европейской правовой системы для электронных подписей. Мы выражаем надежду, что это исследование предоставит интересные материалы для начала общеевропейской дискуссии по этому предмету.

Сентябрь 2003 г.

Приложение 1: Анкеты по странам См. анкеты по странам в отдельной подшивке.

Приложение 2: Сборник действующего законодательства и судебных прецедентов См. сборник действующего законодательства и судебных прецедентов в отдельной подшивке.

Приложение 3. Примеры использования электронных подписей В данной главе приведено описание целого ряда сфер применения электронных подписей в Европе. Данное описание содержит только типичные примеры и ни в коем случае не претендует на абсолютную полноту. Применения, которые предусматривают только аутентификацию (безопасный вход в систему), пилотные проекты и испытания не включены в этот список.

Австрия: управление зарубежными счетами Сфера применения Процесс регистрации счетов в зарубежных банках в Сертификаты Квалифицированные сертификаты (КС), издаются Стоимость 12 евро регистрационный взнос, 12 евро ежегодный взнос, 25 евро сертификационных услуг (ПСУ65) Пользователи Держатели счетов за рубежом Идентификация По псевдониму и CIN (Cardholder Identification Number – пользователей идентификационный номер держателя карты) Требования Защищённые устройства создания подписей (SSCD) и Нормативная основа 5. Австрия: архив нотариальных свидетельств Сфера применения Архив нотариальных свидетельств (CyberDocs): сканирование, Сертификаты Неквалифицированные сертификаты, издаются аккредитованными Стоимость 12 евро регистрационный взнос, 12 евро ежегодный взнос, 25 евро сертификационных услуг (ПСУ) Пользователи Нотариальные конторы и их персонал Идентификация По псевдониму и CIN (Cardholder Identification Number – пользователей идентификационный номер держателя карты) Требования Защищённые устройства создания подписей (SSCD) и Нормативная основа 5. Аббревиатура «ПСУ» не является общеупотребительной и введена в текст как аналог английской аббревиатуры CSP – Certification Service Provider – исключительно для удобства пользования Бельгия: «электронное правительство»

Сфера применения Планируемая система «электронного правительства», в котором используются электронные идентификационные карты Сертификаты Квалифицированные сертификаты, издаются правительством как Провайдер(ы) Правительство Бельгии сертификационных услуг (ПСУ) Пользователи Все граждане старше 18 лет в течение 5 лет Идентификация Официальный личный идентификационный номер в пользователей государственном реестре Требования Защищённые устройства создания подписей (SSCD) Нормативная основа Договор Бельгия: «электронные налоги» для граждан Сфера применения Электронные налоговые декларации (налоги через Сеть) Сертификаты Нет (типичный способ аутентификации доступа с помощью имени Провайдер(ы) Правительство Бельгии сертификационных услуг (ПСУ) Пользователи Физические лица — налогоплательщики, работающие по найму (в настоящее время зарегистрировано 75 000 пользователей) Идентификация Официальный личный идентификационный номер в пользователей государственном реестре или номер социального страхования Требования Токен (скретч-карта) Нормативная основа Договор Дания: электронные банковские услуги Сфера применения Электронные банковские услуги для частных лиц Сертификаты Неквалифицированные, издаются всеми крупными банками Провайдер(ы) Банки сертификационных услуг (ПСУ) Пользователи 1,9 миллиона клиентов банков Идентификация Номер клиента пользователей Требования Смарт-карта не требуется Нормативная основа Договор Дания: «электронное правительство»

Сфера применения Планируемые услуги электронного правительства для органов Сертификаты OCES (Упрощённые сертификаты для электронных сервисов) Провайдер(ы) ПСУ, уполномоченные использовать сертификаты OCES (в сертификационных настоящее время это TDC и Eurotrust) услуг (ПСУ) Пользователи Органы государственной власти и граждане страны. В настоящее Идентификация Имя или псевдоним (по выбору подписавшего). Официальные пользователей личные номера заменяются специальными новыми номерами, для Требования Смарт-карта не требуется Нормативная основа Электронно-цифровые подписи OCES Финляндия: «электронное правительство»

Сфера применения Некоторые услуги «электронного правительства», в которых используется электронная идентификационная карта, выдаваемая Сертификаты Квалифицированные Стоимость Электронная идентификационная карта и кард-ридер сертификационных услуг (ПСУ) Пользователи Около 2000 граждан Идентификация Полное имя и специальный электронный идентификатор пользователей транзакции, назначаемый каждому гражданину и хранящийся в Требования Кард-ридер и программное обеспечение Нормативная основа Может служить заменителем собственноручной подписи (5.1) Франция: «электронные налоги» для физических лиц Сфера применения Декларирование валовых доходов с помощью электронных Сертификаты Неквалифицированные Провайдер(ы) Министерство финансов (под управлением Certplus) сертификационных услуг (ПСУ) Пользователи Граждане страны Идентификация пользователей Требования Нормативная основа Франция: «электронные налоги» для юридических лиц Сфера применения Декларирование НДС с помощью электронных средств Сертификаты Неквалифицированные Провайдер(ы) Министерство финансов (в основном под управлением Certplus) и сертификационных другие ПСУ услуг (ПСУ) Пользователи Компании Идентификация пользователей Требования Нормативная основа 5.2 и специальное законодательство Германия: «электронное правительство» для граждан Сфера применения Около 200 приложений для создания «электронного Сертификаты Квалифицированные сертификаты, издаются аккредитованными Провайдер(ы) Telekom Telesec, Datev, Deutsche Post SignTrust сертификационных услуг (ПСУ) Пользователи Около 5000 государственных служащих Идентификация Имя (псевдоним) пользователей Требования Защищённые устройства создания подписей (SSCD), проверенное программное обеспечение, предоставляемое ПСУ. Программы для Нормативная основа Может служить заменителем собственноручной подписи (5.1) Германия: «электронное правительство» для специалистов Сфера применения 10 приложений «электронного правительства» для специалистов в федеративных землях (например, для взаимодействия адвокатов с Сертификаты Квалифицированные сертификаты, издаются аккредитованными Провайдер(ы) Telekom Telesec сертификационных услуг (ПСУ) Пользователи Около 1000 государственных служащих и специалистов Идентификация Имя (псевдоним) пользователей Требования Защищённые устройства создания подписей (SSCD), проверенное программное обеспечение, предоставляемое ПСУ. Программы для Нормативная основа Может служить заменителем собственноручной подписи (5.1) Германия: внутреннее «электронное правительство»

Сфера применения Внутреннее «электронное правительство» земель, например, в Сертификаты Квалифицированные сертификаты, издаются аккредитованными Провайдер(ы) Telekom Telesec сертификационных услуг (ПСУ) Пользователи Около 15000 государственных служащих Идентификация Имя (псевдоним) пользователей Требования Защищённые устройства создания подписей (SSCD), проверенное программное обеспечение, предоставляемое ПСУ. Программы для Нормативная основа Может служить заменителем собственноручной подписи (5.1) Греция: биржа Сфера применения Передача сведений от компаний на биржу Сертификаты Квалифицированные и неквалифицированные Стоимость Оплачивается биржей Провайдер(ы) ASYK (работает под контролем Афинской фондовой биржи) сертификационных услуг (ПСУ) Пользователи Около 1000 уполномоченных сотрудников компаний Идентификация Полное имя и зарегистрированный идентификационный номер пользователей Требования Смарт-карта Нормативная основа Может служить заменителем собственноручной подписи (5.1) Ирландия: защищённая электронная почта Сфера применения Защищённая электронная почта Сертификаты Неквалифицированные Стоимость «почти бесплатно»

Провайдер(ы) PostTrust сертификационных услуг (ПСУ) Пользователи Специалисты, например, адвокаты и бухгалтеры Идентификация Адрес электронной почты пользователей Требования Подключаемый модуль, обеспечивающий защиту электронной Нормативная основа Может служить заменителем собственноручной подписи в Ирландия: электронные банковские услуги Сфера применения Электронные банковские услуги, предлагаются всеми крупными Сертификаты Неквалифицированные Стоимость «почти бесплатно»

Провайдер(ы) Нет сведений сертификационных услуг (ПСУ) Пользователи Клиенты банков — физические и юридические лица Идентификация Идентификационная информация о клиенте пользователей Требования Нормативная основа Договоры Ирландия: электронное налогообложение Сфера применения Декларирование налогов, предлагается службами Revenue Online Сертификаты Неквалифицированные Стоимость «почти бесплатно»

сертификационных услуг (ПСУ) Пользователи Пользователи-предприниматели Идентификация Специальный идентификационный номер, формируемый для пользователей данной услуги Требования Нормативная основа Замена собственноручной подписи Италия: «электронное правительство»

Сфера применения Различные услуги, предлагаемые государственными Сертификаты Квалифицированные сертификаты, издаются аккредитованными Провайдер(ы) Аккредитованные ПСУ сертификационных услуг (ПСУ) Пользователи Граждане страны и фирмы Идентификация Имя, фамилия, бюджетный код пользователей Требования Защищённые устройства создания подписей (SSCD), программное Нормативная основа Замена собственноручной подписи Италия: DigiNotar Сфера применения Услуги в области сертификации, предоставляемые нотариальными конторами. Предусмотренные области применения включают деятельность правительства, финансы, промышленность, транспорт, здравоохранение, торговлю, а также независимых Сертификаты Четыре типа: персональный сертификат для компании, «пакетный» сертификат (идентифицирует компанию или Стоимость Провайдер(ы) 76 нотариальных контор будут выполнять функции центров сертификационных регистрации для ПСУ Diginotar BV (в 2003 году планируется его услуг (ПСУ) аккредитация) Пользователи Сотрудники государственных и коммерческих организаций, Идентификация «Пакетный» сертификат включает название компании и пользователей уникальный номер (выдаваемый Diginotar) Требования В некоторых сферах применения требуются смарт-карты Нормативная основа Адаптированное законодательство, 5. Нидерланды: «электронное правительство»

Сфера применения Инфраструктура открытых ключей Overheid как планируемое Сертификаты Квалифицированные сертификаты, издаются аккредитованными Стоимость Провайдер(ы) Пока нет сертификационных услуг (ПСУ) Пользователи Государственные учреждения, работающие по найму, компании, Идентификация Имя (возможно, также псевдоним), функциональные обязанности пользователей и полномочия, либо профессия работника Требования Защищённые устройства создания подписей (SSCD) Нормативная основа Замена собственноручной подписи (5.1) Португалия: защита банковских транзакций Сфера применения Подписывание межбанковских электронных операций Сертификаты Неквалифицированные сертификаты, предусматривают Стоимость Подписывающая сторона: сертификат, карта и кард-ридер ( Сторона, проверяющая подписи: списки отозванных сертификатов Провайдер(ы) MULTICERT сертификационных услуг (ПСУ) Пользователи Около 100 клиентов, создающих в среднем 2 подписи в день Идентификация Псевдоним и полное имя (может включать номер клиента или пользователей внутренний номер) Требования Программное обеспечение, предоставленное MULTICERT Нормативная основа Может использоваться для замены собственноручной подписи Испания: «электронное правительство»

Сфера применения Приложения «электронного правительства» в центре и на местах, Сертификаты Квалифицированные сертификаты, основываются на смарт-картах Стоимость Сертификаты для налоговых деклараций предоставляются Провайдер(ы) FNMT (Испанский монетный двор) сертификационных услуг (ПСУ) Пользователи Граждане страны Идентификация Имя и NIF (идентификационный номер налогоплательщика) пользователей Требования Использование смарт-карт для создания сертифицированных ЭЦП Нормативная основа ЭЦП согласно 5.1 и 5. Швеция: электронные банковские услуги Сфера применения Электронные банковские услуги, предоставляемые всеми банками Сертификаты Некоторые банки используют сертификаты, другие применяют Провайдер(ы) Каждый банк сертификационных услуг (ПСУ) Пользователи 3 миллиона клиентов банков-физических и юридических лиц Идентификация Имя, персональный идентификационный номер пользователей Нормативная основа Договор Швеция: «электронное правительство»

Сфера применения Около 10 сфер применения: налоговые декларации, оплата отпусков по уходу за детьми, регистрация источников энергии, Сертификаты Неквалифицированные сертификаты, основываются на Стоимость Пользователи: 0-40 евро Провайдер(ы) Назначаются по правительственному подряду: ряд банков, почта сертификационных Швеции, Telia услуг (ПСУ) Пользователи Граждане страны, компании Идентификация Имя, персональный идентификационный номер пользователей Требования Программное обеспечение, предоставляемое ПСУ Нормативная основа Адаптированное законодательство, 5. Швеция: защищённая электронная почта Сфера применения Защищённая электронная почта Стоимость В основном бесплатно Провайдер(ы) Почта Швеции, Telia, Verisign сертификационных услуг (ПСУ) Пользователи Граждане страны, компании Идентификация Адрес электронной почты пользователей Требования Нормативная основа 5. Чешская республика: электронная таможня Сфера применения Электронное растаможивание Сертификаты Квалифицированные сертификаты, издаются аккредитованными Провайдер(ы) Prvni certifikani autorita сертификационных услуг (ПСУ) Пользователи Идентификация Имя, псевдоним пользователей Требования Защищённые устройства создания подписей (SSCD) Нормативная основа Закон, 5. Эстония: электронные идентификационные карты (eID) Сфера применения Развертывается система электронных идентификационных карт Сертификаты Квалифицированные сертификаты Стоимость 10 евро за карту. Необходимое ПО (DigiDoc) — бесплатно Провайдер(ы) AS Sertifitseerimiskeskus выпускает сертификаты для электронных сертификационных идентификационных карт услуг (ПСУ) Пользователи Потенциальные пользователи — все держатели Идентификация Имя, идентификатор пользователя, адрес электронной почты пользователей Требования Электронная идентификационная карта и программное Нормативная основа 5. Польша: «электронное правительство»

Сфера применения Platnik (разработана Prokom Software) — приложение, используемое для передачи данных по социальному страхованию Сертификаты Неквалифицированные сертификаты Провайдер(ы) Данная услуга предоставляется для ZUS организацией Unizeto сертификационных услуг (ПСУ) Пользователи Пользователи, действующие от имени работодателей, на которых Идентификация пользователей Требования Специальное программное обеспечение, бесплатно Нормативная основа Специальный закон Польша: безналичные межбанковские расчёты Сфера применения ELIXIR — Система электронных банковских расчётов, Сертификаты Неквалифицированные сертификаты Провайдер(ы) KIR — провайдер услуг и издатель сертификатов сертификационных услуг (ПСУ) Пользователи 38 000 пользователей в банках Идентификация пользователей Требования Смарт-карты Нормативная основа Договор Словения: электронные банковские услуги для корпоративных клиентов Сфера применения Электронные банковские услуги для корпоративных клиентов и Сертификаты Квалифицированные сертификаты Стоимость 25 евро для физических лиц, 100 евро для юридических лиц Провайдер(ы) Halcom CA, AC NLB сертификационных услуг (ПСУ) Пользователи Граждане страны; лица, получившие от компаний полномочия на Идентификация Полное имя, ИНН пользователей Требования В электронных банковских услугах для физических лиц — 70% Нормативная основа Эквивалент собственноручной подписи (5.1) Словения: «электронное правительство»

Сфера применения Внутренние и открытые приложения «электронного правительства» («правительство-правительство», «правительствобизнес», «правительство-гражданин») Сертификаты Квалифицированные сертификаты Стоимость Около 100 евро в модели «правительство-правительство» и «правительство-бизнес»; менее 10 евро в модели «правительствогражданин»

Провайдер(ы) Sigen-CA, Sigov-CA сертификационных услуг (ПСУ) Пользователи Граждане страны и лица, работающие по найму Идентификация Полное имя, ИНН пользователей Требования Для использования во внутренних приложениях «электронного Нормативная основа Эквивалент собственноручной подписи (5.1) Румыния: «электронные налоги»

Сфера применения Электронное правительство: выплата местных налогов Сертификаты Квалифицированные сертификаты Стоимость 40 евро за сертификат, 50 евро за аппаратное обеспечение Провайдер(ы) E-SIGN ROMANIA S.A.

сертификационных услуг (ПСУ) Пользователи Сотрудники компаний Идентификация Полное имя, адрес электронной почты пользователей Требования Смарт-карта Нормативная основа Эквивалент собственноручной подписи (5.1) Норвегия: ставки Сфера применения Сетевая игра и размещение ставок в национальной лотерее Сертификаты Квалифицированные сертификаты Стоимость 9 евро в год, включая смарт-карту и кард-ридер Провайдер(ы) ZebSign сертификационных услуг (ПСУ) Пользователи Граждане страны Идентификация Полное имя, уникальный идентификатор, который может при пользователей необходимости преобразовываться общенациональный личный Требования Программное обеспечение, предоставленное ПСУ Нормативная основа 5. Норвегия: мобильная коммерция Сфера применения Мобильная электронная коммерция (оператор Telenor Mobile) Сертификаты Квалифицированные сертификаты Стоимость 0,1-0,3 евро за транзакцию Провайдер(ы) ZebSign сертификационных услуг (ПСУ) Пользователи Граждане страны Идентификация Полное имя, уникальный идентификатор, который может при пользователей необходимости преобразовываться общенациональный личный Требования Мобильный телефон Нормативная основа 5. Приложение 4: Указатель по странам Интернет-адреса Интернет-ссылки, представленные в картотеке стран, также доступны на этой вебстранице:

http://www.pki-page.info/eu/ Страница регулярно обновляется.

Австрия Транспонирование Федеральный закон № 190/99 «Об электронных подписях»;

Директивы последняя редакция 2001 г., вступил в силу 1 января 2001 г.

Федеральный указ № 30/2000 «Об электронной подписи», вступил в Определения Подписывающее лицо может быть только физическим лицом. Под (ст. 2) определение подписывающего лица также подпадают ПСУ, которые издают сертификаты и предоставляют соответствующие услуги.

Типы подписей Определены 2 типа: «базовая» и «защищенная». Защищёнными являются ЭЦП, основанные на передовых стандартах шифрования и, в дополнение: 1) использующие квалифицированные сертификаты;

процедур, которые соответствуют требованиям безопасности, Официальное Защищённые ЭЦП отвечают требованиям к собственноручной признание подписи, в первую очередь в письменной форме, как указано в эквивалентности Гражданском кодексе Австрии. Иное может быть предусмотрено ЭЦП специальным договором или соглашением сторон. Существует собственноручной презумпция подлинности личных документов, подписанных с (ст. 5.1) Защищённые ЭЦП не ведут к юридическим последствиям, аналогичным собственноручной подписи, в случае: 1) официально зарегистрированных сделок в семейном или наследственном праве, специальной форме; 2) объявления о намерении совершить сделку или о совершенной сделке, требующей официальной сертификации (включая нотариально заверяемые); 3) актов, в отношении которых требуется официальная сертификация с занесением в реестр; 4) Юридическая сила Прямое транспонирование: единая статья с запретом ЭЦП (ст. 5.2) дискриминации любых форм подписи. В австрийской системе гражданского права ограничений на использование ЭЦП нет.

Существенные К настоящему времени судебные решения, касающиеся прецеденты использования или юридической силы ЭЦП, не принимались.

Ответственность Прямое транспонирование. ПСУ, которые издают (ст. 6) квалифицированные сертификаты, являются ответственными перед лицами, обоснованно доверяющими сертификатам. ПСУ, процедур, отвечают за законность и пригодность поставляемых или рекомендуемых ими продуктов, предназначенных для создания предусмотрена ответственность, касаются: 1) неспособности незамедлительно отозвать сертификат; 2) неспособности обеспечить соответствие Приложению II Директивы, включая неспособность предоставить безопасные технические устройства и процедуры.

Бремя доказательства противного. Провайдер должен доказать отсутствие халатности в своих действиях либо в действиях своего персонала. Пределы ответственности соответствуют указанным в Международные Должна обеспечиваться возможность проверки достоверности всех аспекты (ст. 7) иностранных сертификатов (изданных ПСУ на территории ЕС или за его пределами). Квалифицированные сертификаты ЕС считаются эквивалентными австрийским, с учётом того, что их подлинность может быть проверена. Сертификаты обычного типа, изданные за пределами ЕС, принимаются безоговорочно, если их подлинность может быть проверена. Защищенные сертификаты, изданные за должна существовать возможность проверки их подлинности в Прямая обязанность надзорного органа вести каталог провайдеров сертификационных услуг из третьих государств, имеющих договоры Защита данных Австрийское законодательство предусматривает особые (ст. 8) обязательства в области защиты данных: 1) ограничение количества собираемых данных объемом, необходимым для предоставления уполномоченной третьей стороной; 2) раскрытие реальной персональной информации (при использовании псевдонимов) только по законному запросу, имеющему преимущественное юридическое действие; 3) передача данных для содействия судам и защите данных нет, но Акт образом применяется. Использование псевдонимов разрешено при следующих условиях: 1) указано, что это псевдоним; 2) псевдоним не является оскорбительным, и его нельзя перепутать с реальными именами или наименованиями.

Реализация Все приложения скопированы. Тем не менее, требования приложений Приложения II дополнены требованием к «защищённому времени»

использовать в соответствии с правилами безопасного создания и проверки подлинности квалифицированной ЭЦП. Подобные продукты должны быть сертифицированы разрешающим органом — Предоставление В законе прямо запрещено предварительное утверждение ПСУ.

услуг Уведомление является обязательным для всех провайдеров сертификации сертификационных услуг; ответственным органом является TKK (Telecom Control Commission). Стоимость уведомления составляет Все ПСУ, зарегистрированные в Австрии, являются поднадзорными организациями; это достигается посредством регулярных аудиторских проверок. Критерии соответствия официально В законе предусмотрена добровольная аккредитация; данная схема установлены. Австрийская система не стимулирует аккредитацию.

Количество 6 ПСУ выдают квалифицированные сертификаты, 2 из них провайдеров аккредитованы.

сертификационных услуг Использование В законе не предусмотрены особые требования для ЭЦП в государственного сектора. Представлены приложения в сфере eгосударственном identity (электронная идентификация личности).

секторе Оценка Обязательная экспертиза защищённых устройств создания подписей соответствия (SSCD). Органом, ответственным за экспертизу, является A-SIT.

защищённых Экспертиза продуктов SSCD уже проведена.

устройств создания Присутствует ряд требований к клиентским программам, в подписей частности, обязательное отображение подписываемого документа.

Использование Первоначальный закон ссылается на принцип соответствия стандартов (ст. 3.5) требованиям стандартов. Никакие другие стандарты не являются пересматривается и будет включать подобные требования. В SigV дополнительных стандартов, имеющих рекомендательный характер.

Обеспечение Помимо добровольных стандартов, упомянутых выше, проект совместимости «Brgerkarte» также обеспечивает совместимость посредством Рынок продуктов и Выдано около 10 000 квалифицированных сертификатов, все они услуг ЭЦП основаны на использовании SSCD. Также выдано около электронные банковские услуги для корпоративных клиентов и неквалифицированных сертификатах и смарт-картах (не SSCD), тем Выпущена первая в Австрии электронная идентификационная карта.

регистрационный взнос и стоимость кард-ридера). Срок действия Представлены также «упрощённые» карты для граждан страны; для «электронного правительства», где отсутствуют строгие формальные требования к наличию собственноручной подписи.

Веб-ссылки http://www.ris.bka.gv.at/bundesrecht/ http://mailbox.univie.ac.at/thomas.menzel/docs/Signature_Law_E.pdf http://mailbox.univie.ac.at/thomas.menzel/docs/Signature_Order_E.pdf http://www.a-sit.at/signatur/bestaetigungsstelle/bestaetigungsstelle.htm http://mailbox.univie.ac.at/thomas.menzel/pubs/ifip99_paper.pdf http://www.bka.gv.at/datenschutz/indexe.htm http://www.signatur.rtr.at/repository/rtr-ПСУ-notification-10-20010601de.zip http://www.signatur.rtr.at/en/repository/tkk-accreditation-atrusthtml http://www.a-sit.at/signatur/bestaetigungsstelle/bescheinigung/ veroeffentlichung_18_5_/veroeffentlichung_18_5_.html http://www.a-sit.at/signatur/bestaetigungsstelle/bescheinigung/ veroeffentlichung_andere/veroeffentlichung_andere.html Бельгия Транспонирование 1) Закон от 20 октября 2000 г. «Введение в использование Директивы телекоммуникационных средств и электронной подписи в судебном и внесудебном производстве», частично вступил в силу 1 января аккредитации ПСУ, выдающих квалифицированные сертификаты», Определения Не дано определение подписывающего лица. Вместо этого в (ст. 2) законодательстве говорится о «владельце сертификата», физическом Типы подписей Определены 3 типа: «базовая» согласно Директиве и улучшенная («квалифицированной», т.е. созданной на защищённом устройстве создания подписей (SSCD) посредством современных стандартов Официальное С точки зрения суда ЭЦП, созданные на защищённом устройстве признание создания подписей посредством современных стандартов эквивалентности шифрования на основе квалифицированного сертификата, ЭЦП приравниваются к собственноручным подписям, независимо от того, собственноручной были они сделаны юридическим или физическим лицом.

подписи (ст. 5.1) Юридическая сила Прямое транспонирование: недопустимо отрицание юридической ЭЦП (ст. 5.2) силы и допустимости использования ЭЦП в качестве доказательства При использовании в качестве доказательства ЭЦП приравнивается установить: 1) личность её автора; и 2) целостность подписываемой Существенные К настоящему времени судебные решения, касающиеся прецеденты использования или юридической силы ЭЦП, не принимались.

Ответственность Дословное транспонирование.

(ст. 6) Международные Статья аналогична соответствующей статье Директивы.

аспекты (ст. 7) Защита данных Прямое транспонирование. ПСУ должны соблюдать общие законы и (ст. 8) обязательства в области защиты данных, описанные в разделе Акта ПСУ, посвященном защите данных (дословно соответствует статье Разрешено использование псевдонимов. Раскрытие псевдонимов государственным органам производится в соответствии с условиями, перечисленными в уголовно-процессуальном кодексе.

Реализация Приложения скопированы дословно.

Приложений Предоставление Закон не запрещает предварительное утверждение ПСУ.

услуг Уведомление обязательно для всех ПСУ, издающих сертификации квалифицированные сертификаты. Ответственным органом за Все провайдеры сертификационных услуг, зарегистрированные в Бельгии, являются поднадзорными организациями; это достигается посредством регулярных аудиторских проверок. Критерии В законодательстве не даётся описание аккредитации; вместо этого схема аккредитации уже реализована. Правила оценки установлены, критерии аккредитации дорабатываются, но в настоящее время не опубликованы. Бельгийская система не стимулирует аккредитацию.

Количество 2 ПСУ выдают квалифицированные сертификаты; аккредитованных сертификационных услуг Использование В законодательстве определены специальные требования к ЭЦП в использованию ЭЦП в государственном секторе. Уже работают государственном проекты в области электронной идентификации личности (eсекторе identity), электронного ИНН (e-VAT) и социальной защиты.

Оценка Аттестация защищенных устройств создания подписей является соответствия обязательной; орган, ответственный за аттестацию, пока не устройств создания подписей Использование Презумпция соответствия требованиям стандартов, упомянутых в стандартов (ст. 3.5) официальном бюллетене (Official Journal). Никакие другие стандарты не являются обязательными. Алгоритмы не определены.

Обеспечение Существуют несколько различных рабочих групп, в пределах совместимости которых происходит обмен информацией между игроками рынка Рынок продуктов и Наиболее широко ЭЦП применяется в электронных банковских услуг ЭЦП услугах (на основе договоров или ЭЦП, соответствующих личности, обязательные для всех граждан и резидентов страны.

Вслед за этим Бельгия станет первой страной Европы, обеспечившей выдачу электронных удостоверений личности для всего населения.

Ориентировочные затраты на реализацию проекта составляют электронное удостоверение, которое затем будет использоваться как доказательство личности при получении доступа как к реальным, данные, что заносятся в бумажные удостоверения личности, служит для идентификации владельца, вторая — для подписывания электронных документов). Тем самым, электронное удостоверение Веб-ссылки http://www.icri.be/ Дания Транспонирование Закон № 417/2000 «Об электронных подписях»; вступил в Директивы силу 1 октября 2000 года. По содержанию очень близок к Определения ЭЦП определена как любые данные, гарантирующие Типы подписей 3 типа: «базовая» и AES (определена так же, как в Официальное признание Если в законе предусмотрено, что электронные сообщения эквивалентности ЭЦП либо документы должны предоставляться с подписью, это собственноручной подписи требование считается выполненным при условии (ст. 5.1) использования квалифицированной ЭЦП. Применительно к Юридическая сила ЭЦП (ст. Транспонирования нет. Положения ст. 5.2 применяются как 5.2) Существенные прецеденты К настоящему времени судебные решения, касающиеся Ответственность Прямое транспонирование. Статья возлагает на ПСУ, (ст. 6) выдающих гражданам квалифицированные сертификаты, Международные аспекты Прямое транспонирование ст. 7. Условия признания Защита данных Закон предусматривает обязательства по защите данных (ст. 8) только для центров сертификации. Эти обязательства Реализация Приложений Приложения I, II и III скопированы. Требования к ПСУ в Предоставление услуг Закон не запрещает предварительное утверждение ПСУ.

сертификации Уведомление обязательно для всех провайдеров Количество провайдеров 3 ПСУ, выдающих квалифицированные сертификаты.

сертификационных услуг Использование ЭЦП в В законодательстве нет специальных требований для государственном секторе государственного сектора.

Оценка соответствия Аттестация защищенных устройств создания подписей защищённых устройств является обязательной; орган, ответственный за создания подписей аттестацию, пока не назначен.

Использование стандартов Презумпция соответствия защищённых устройств создания (ст. 3.5) подписей требованиям стандартов, упомянутых в Обеспечение совместимости Форум по цифровым подписям в Датской ассоциации Рынок продуктов и услуг Выпущено около 2000 квалифицированных сертификатов, Веб-ссылки http://videnskabsministeriet.dk/cgi-bin/docshow.cgi?doc_id=41719&leftmenu=LOVSTOF http://www.itst.dk/wimpdoc.asp?page=tema&objno= http://www.itst.dk/wimpdoc.asp?page=tema&objno= http://videnskabsministeriet.dk/cgi-bin/news-archive-list.cgi http://www.jm.dk/wimpdoc.asp?page=dept&objno= Финляндия Транспонирование 1) Закон № 14/2003 «Об электронных подписях» является базовым Директивы законом, обеспечивающим реализацию ЭЦП. Вступил в силу регулировании деятельности FICORA (полномочный орган 3) Постановление FICORA об обязательной регистрации центров Определения ЭЦП определена так же, как в Директиве.

(ст. 2) Подписывающее лицо: физическое лицо, на законных основаниях ПСУ: физическое или юридическое лицо, предоставляющее сертификаты. Несмотря на очевидно узкую трактовку термина «провайдер сертификационных услуг», сфера действия закона фактически касается всех связанных с сертификацией услуг.

Типы подписей «Базовая» и AES (определена так же, как в Директиве).

В законе неявно определена подпись «более высокого уровня», т.е.

квалифицированная ЭЦП, которая представляет собой AES на основе квалифицированного сертификата, созданную с помощью Официальное Прямое транспонирование. Требования к подписи выполняются признание как минимум при наличии AES (современного алгоритма эквивалентности шифрования), основанного на квалифицированном сертификате и ЭЦП созданного на защищенном устройстве создания подписей (SSCD).

собственноручной подписи (ст. 5.1) Юридическая сила Прямого транспонирования нет. Финское законодательство ЭЦП (ст. 5.2) основывается на принципе свободы договора (включая правовые Следовательно, любая ЭЦП, отличная от квалифицированной, Существенные Существующее прецедентное право до сих пор не касается прецеденты допустимости использования или юридической силы ЭЦП, но использования электронных документов: просьба об апелляции может доставляться посредством факсимиле. Решающее значение Ответственность Прямое транспонирование. Ответственность ПСУ, которые выдают (ст. 6) квалифицированные сертификаты, по отношению к третьим сторонам, доверяющим сертификатам (не только обоснованно).

Перечислены все основания возникновения ответственности из ст.

отозвать сертификат (применимо также в случае гарантирования провайдером сертификационных услуг сертификатов другого Бремя доказательства противного. Ответственность ограничивается (конкретной областью применения сертификатов).

Международные Прямое транспонирование ст. 7. Условия соответствуют аспекты (ст. 7) перечисленным в Директиве.

Защита данных Прямое транспонирование в Законе, однако, относится только к (ст. 8) обязательствам по защите данных со стороны ПСУ. Финский закон защите данных; 2) повторяют ряд обязательств применительно к ПСУ (например, перечислены правила передачи данных в системе информации по вопросам народонаселения, запрещено указание в сертификатах личных идентификационных номеров, и т.д.).

данных осуществляет надзор за соблюдением соответствующих обязательств. Псевдонимы, используемые в сертификатах, должны Реализация Приложения I и III скопированы. Приложение II применяется с Приложений теми же требованиями. Приложение IV не транспонировано.

Предоставление Закон не запрещает предварительное утверждение ПСУ.

услуг сертификации Уведомление обязательно для всех провайдеров сертификационных услуг, издающих квалифицированные сертификаты. Ответственным органом за сертификацию является FICORA (полномочный орган управления связью в Финляндии).

поднадзорными организациями; это достигается посредством регулярных аудиторских проверок. Фактически аудиту, по всей видимости, подвергаются только провайдеры, издающие квалифицированные сертификаты. Критерии соответствия указаны Количество 1 ПСУ, выдающий квалифицированные сертификаты.

провайдеров сертификационных услуг Использование ЭЦП В законодательстве определены специальные требования к в государственном использованию ЭЦП в государственном секторе. Уже работают секторе проекты в области электронной идентификации личности (eidentity), электронного банковского обслуживания, социальной Оценка соответствия Предусмотрена дополнительная аттестация защищенных устройств защищённых создания подписей; орган, ответственный за аттестацию, пока не устройств создания назначен.

подписей Использование Презумпция соответствия защищённых устройств создания стандартов (ст. 3.5) подписей требованиям стандартов, упомянутых в официальном бюллетене. FICORA может издавать дополнительные технические регламенты и рекомендации, касающиеся требований надёжности Обеспечение Центр учёта населения тестирует кард-ридеры и программное совместимости обеспечение на совместимость с системами, установленными в бесплатного получения программного обеспечения через Образована группа HST, в которую входят операторы связи, банки, компания, предоставляющая обслуживание по кредитным картам, (Европейская инициатива по созданию цифровых удостоверений Рынок продуктов и Три сферы применения: электронные банковские услуги (большей услуг ЭЦП частью для аутентификации), «электронное правительство» (на электронная коммерция (мобильные операторы). Некоторые из сервисов «электронного правительства» используют электронные удостоверения, выданные Центром учёта населения примерно граждан и основанные на квалифицированных сертификатах.

Данные подписи считаются эквивалентными собственноручным.

смарт-карты, которые используют выдаваемые Центром учёта населения электронные удостоверения. Оператор TeliaSonera Веб-ссылки http://www.mintc.fi/www/sivut/suomi/tele/saadokset/telecom/norms/14en.htm http://www.ficora.fi/englanti/document/FICORA072003M.pdf http://www.ficora.fi/englanti/document/FICORA082003M.pdf http://www.finlex.fi/linkit/ajansd/ http://www.finlex.fi/linkit/ajansd/ http://www.finlex.fi/linkit/ajansd/ http://www.finlex.fi/linkit/ajansd/ http://www.finlex.fi/pdf/saadkaan/E9990523.pdf http://www.tietosuoja.fi/uploads/p9qzq7zr3xxmm9j.rtf http://www.mintc.fi/www/sivut/suomi/tele/saadokset/telecom/norms/ http://www.ficora.fi/englanti/tietoturva/index.htm http://www.ficora.fi/englanti/tietoturva/allekirjoitus.htm http://www.ficora.fi/englanti/index.htm Laatuvarmennetoiminnan_aloitusilmoituslomake.pdf http://www.ficora.fi/ruotsi/document/Anmalan_om_inledande.DOC http://www.intermin.fi/intemin/home.nsf/pages/ 25B44413D2D0CA91C2256BC30038F079?opendocument http://www.sahkoinenhenkilokortti.fi/certsearch.asp http://www.pankkiyhdistys.fi/sisalto_eng/upload/pdf/tupasV2eng.pdf Франция Транспонирование 1) Закон № 2000-230 «Применение закона о свидетельских Директивы показаниях к информационным технологиям и ЭЦП», вступивший поправок в Гражданский кодекс, относящихся к ЭЦП», вступило в безопасности, обеспеченной продуктами и системами на основе аккредитации органов, проводящих оценку», вступило в силу Определения Дано следующее определение ЭЦП: данные, полученные в (ст. 2) результате надёжного процесса идентификации, гарантирующего подписи. Подписывающее лицо: аналогично Директиве, но включает только физических лиц. Провайдеры сертификационных услуг: названы «Поставщиками электронных сертификационных «аккредитации». Последний термин используется применительно к соответствия» провайдеров сертификационных услуг.

Типы подписей Три типа подписей: «базовая», защищённая (соответствует AES в Директиве), подпись более высокого уровня (квалифицированные Официальное Прямое транспонирование. Закон отождествляет ЭЦП с признание собственноручной подписью при выполнении некоторых условий эквивалентности надёжности (идентификация, связь содержимого с подписью).

ЭЦП Прямого упоминания иных правовых эффектов или правовой собственноручной пригодности нет.

подписи Процесс создания ЭЦП считается надёжным, если подпись была (ст. 5.1) создана, достоверность личности подписавшего проверена, а целостность гарантируется в соответствии с условиями, указанными в Постановлении № 2001-272 (т.е. защищённая ЭЦП, основанная на квалифицированном сертификате и созданная на Юридическая сила Прямое транспонирование. Соответствие ЭЦП собственноручной ЭЦП (ст. 5.2) подписи признается, даже если ЭЦП не отвечает требованиям к квалифицированной подписи, за исключением тех случаев, когда это запрещено специальным законодательством. Во французском случаю; возможен [частный] запрет использования ЭЦП согласно Существенные К настоящему времени судебные решения, касающиеся прецеденты использования или юридической силы ЭЦП, не принимались.

Ответственность Данная норма реализуется в законопроекте «О (ст. 6) конфиденциальности в условиях цифровой экономики»

законодательстве предусмотрены правила применения ответственности с более широкой сферой применения, перечня оснований возникновения ответственности нет. Применимо ко Международные Дословное транспонирование ст. 7.

аспекты (ст. 7) Защита данных Транспонирования нет; применяется общий закон о защите (ст. 8) данных. В сертификатах допускается использовать псевдонимы Реализация Скопированы все Приложения (I-IV).

Приложений Предоставление Во Франции нет предварительного утверждения ПСУ. Провайдеры услуг сертификации должны известить о своей деятельности DCSSI и сообщить, собираются ли они выпускать квалифицированные сертификаты.

Уведомление должны делать все провайдеры сертификационных поднадзорными организациями; это достигается посредством регулярных аудиторских проверок. Критерии соответствия в В законе упоминается добровольная аккредитация (во Франции называемая «оценкой соответствия»); схема уже реализована, но «должна быть завершена» (т.е. органа аккредитации пока нет).

Количество Нет ПСУ, выдающих квалифицированные сертификаты.

провайдеров сертификационных услуг Использование ЭЦП В законодательстве не определены специальные требования к в государственном использованию ЭЦП в государственном секторе. Представлены секторе несколько проектов, в том числе декларирование НДС и валовых Оценка соответствия Предусмотрена обязательная аттестация защищенных устройств защищённых создания подписей (SSCD); единственным ответственным органом устройств создания является DCSSI. К настоящему времени уже аттестован один Использование Стандарты, указанные в официальном бюллетене, не признаются стандартов (ст. 3.5) автоматически; признаются сертификаты соответствия от странчленов ЕС. Упоминаются конкретные стандарты: CWA применительно к защищенным устройствам создания подписей, CWA 14167-2 применительно к криптомодулям и французский Общие рекомендации по алгоритмам и параметрам изданы DCSSI.

Обеспечение Для проекта по электронному декларированию НДС разработан совместимости набор параметров сертификата.

Рынок продуктов и Поднадзорных либо аккредитованных ПСУ нет. Предоставляются услуг ЭЦП услуги электронного налогового декларирования как для доход); Certplus, доминирующий оператор услуг сертификации, выступает от лица центров сертификации (Министерство финансов Веб-ссылки http://www.legifrance.gouv.fr/ http://www.ssi.gouv.fr/fr/confiance/documents/SIG-P-01.pdf Германия Транспонирование Закон «Об основных условиях применения ЭЦП и внесении Директивы поправок в другие законы» (Закон SigG), вступивший в силу, за Определения Определение ЭЦП: аналогично Директиве. Подписывающий (ст. 2) может быть только физическим лицом, владеющим кодами лицом. Узкое определение ПСУ: физическое или юридическое Кроме того, определены следующие термины: квалифицированная ЭЦП, компоненты приложения ЭЦП, технические компоненты для служб сертификации, квалифицированные метки времени.

Термины, совпадающие по значению указанным в Директиве: коды Типы подписей Три типа подписей: «Базовая», AES (требования аналогичны квалифицированного сертификата, созданная с помощью SSCD).

Официальное Прямое транспонирование. В Гражданский кодекс приняты признание поправки, подтверждающие, что «электронная форма» может эквивалентности служить заменителем письменной формы. Гражданский ЭЦП процессуальный кодекс установил презумпцию достаточности собственноручной доказательства применительно к квалифицированным ЭЦП, подписи соответствующим требованиям определения и обеспечивающим (ст. 5.1) эффективную защиту данных. Все прочие процессуальные кодексы административно-процессуальном, налоговом и социальном Юридическая сила Прямого транспонирования нет. Документы, подписанные с ЭЦП (ст. 5.2) помощью ЭЦП, принимаются в качестве доказательств и имеют Доказательная сила определяется по уровню защищённости документа, который можно доказать. Возможно существование Существенные В ряде судебных прецедентов неподписанным сообщениям прецеденты электронной почты отказано в доказательной силе. С другой стороны, решением суда было принято в качестве доказательства факсимильное сообщение, полученное на компьютере без ЭЦП.

Ответственность Транспонированный вариант затрагивает более широкий спектр (ст. 6) условий по сравнению со ст. 6. Пункт касается ответственности ПСУ, выдающих квалифицированные сертификаты. Пределы ответственность: 1) за нарушение требований немецкого реализующих ЭЦП, и иных средств технической безопасности, используемых провайдерами сертификационных услуг.

Бремя доказательства противного. Ограничения применимости соответствуют Директиве (по области применения сертификата и Международные Квалифицированной признается только ЭЦП с сертификатом, аспекты (ст. 7) выданным в пределах Европейского союза или Европейской экономической зоны, и соответствующим требованиям ст. 5. квалифицированные, если выполняется ряд условий. Эти условия Защита данных Особые условия, касающиеся обязательств по защите данных для (ст. 8) всех ПСУ. Повторение основных принципов защиты данных;

сфера использования данных ограничивается целями выдачи сертификатов. Разрешается использование псевдонимов в сертификатах. При определенных условиях государственные и судебные органы вправе получать сведения о реальных именах.

Реализация Приложение I скопировано, за исключением того, что подпись в Приложений сертификате должна не просто представлять собой AES, но и быть Приложение II транспонировано в качестве очень детальных Приложение IV транспонировано в качестве рекомендаций.

соответствуют требованиям к созданию и проверке достоверности квалифицированной ЭЦП. Продукты, рекомендованные аккредитованным ПСУ, подлежат сертификации, тогда как контролируемый провайдер может вместо сертификации издать Предоставление В законодательстве прямо запрещено предварительное услуг сертификации утверждение ПСУ. Уведомление является обязательным для провайдеров, выдающих квалифицированные сертификаты.

Органом, ответственным за уведомление, является RegTP (Контролирующий орган в сфере почтового сообщения и связи).

Стоимость уведомления определяется по времени работы в часах.

квалифицированные сертификаты, являются поднадзорными организациями; поднадзорность обеспечивается путём проведения инспекции при регистрации провайдера. С точки зрения закона о защите данных поднадзорными организациями являются все ПСУ.

В законе предусмотрена добровольная аккредитация; данная схема Количество 23 ПСУ выдают квалифицированные сертификаты; все они провайдеров аккредитованы.

сертификационных услуг Использование ЭЦП В законодательстве определены специальные требования к в государственном использованию ЭЦП в государственном секторе. Уже работают секторе несколько проектов в области «электронного правительства»

(электронные удостоверения личности, НДС и социальная защита).

Оценка соответствия Предусмотрена обязательная аттестация защищенных устройств защищённых создания подписей (SSCD); назначено несколько ответственных устройств создания организаций. Аттестация продуктов SSCD уже проведена.

подписей Использование Функциональные требования к компонентам ЭЦП стандартов (ст. 3.5) устанавливаются без обращения к конкретным стандартам.

Стандарты, указанные в официальном бюллетене, принимаются во внимание при реализации требований Закона, за исключением продуктов, используемых в системе добровольной аккредитации.

Никакие другие стандарты не являются обязательными или рекомендуемыми. Алгоритмы и параметры опубликованы RegTP по предложению Британского института стандартизации и ежегодно пересматриваются с представителями отрасли.

Обеспечение Через несколько лет были созданы несколько организаций, совместимости занимающихся обеспечением совместимости (TeleTrust, ISIS-MTT, Alliance for Electronic Signatures). ISIS-MTT издала подробные списки параметров совместимости на основе международных стандартов. RegTP создан корневой центр сертификации для Рынок продуктов и Аккредитованными ПСУ было выдано около услуг ЭЦП квалифицированных сертификатов; все они основаны на SSCD.

Используется большое количество приложений, основанных на предназначенные для государственных служащих и специалистов.

Сообщалось о проблемах с незащищенной программой просмотра.

Веб-ссылки http://www.regtp.de/ Греция Транспонирование Указ президента № 150/2001 «О реализации Директивы об ЭЦП»

Директивы (ES-Act), вступил в силу 25 июня 2001 года.

года. Закон транспонирует Директиву. Постановление подробно регламентирует процесс предоставления услуг сертификации.

Определения Определения терминов аналогичны Директиве. Единственное (ст. 2) отличие: закон отождествляет AES с электронно-цифровой Типы подписей Три типа: «Базовая», как в Директиве, и усовершенствованная неявно признается подпись более высокого уровня, так называемая «квалифицированная» (данное наименование явно в законе не Официальное Прямое транспонирование. Усовершенствованные ЭЦП, признание основанные на квалифицированных сертификатах и созданные на эквивалентности защищенном устройстве создания подписей, отождествляются с ЭЦП собственноручными подписями как в материальном, так и в собственноручной процессуальном праве.

подписи (ст. 5.1) Юридическая сила Прямое транспонирование. Любая ЭЦП может иметь юридическую ЭЦП (ст. 5.2) силу. Применение ЭЦП, однако, исключается в случае ряда недвижимостью, предполагающие участие нотариуса, прочие акты, Существенные Сообщение электронной почты, констатирующее или прецеденты подтверждающее факт признания долга, может рассматриваться Ответственность Прямое транспонирование. Статья применяется только в (ст. 6) отношении ПСУ, издающих квалифицированные сертификаты, вне оснований применения ответственности идентичен Директиве.

Присутствует та же норма о неспособности зарегистрировать отзыв Признается бремя доказательства противного (ответственность действиях вины; понятие вины включает все случаи халатности, которые способен избежать среднестатистический специалист).

Международные Прямое транспонирование. Содержание идентично статье аспекты (ст. 7) (примечание: нет прямого упоминания того, что условия Защита данных Прямое транспонирование (формулировки аналогичны Директиве).

(ст. 8) В Постановлении дополнительно перечислен ряд специальных сертификаты, обязаны перечислять в ежегодных отчётах EETT выдающие квалифицированные сертификаты, обязаны описывать Реализация Все Приложения скопированы дословно. Для Приложения II Приложений дополнительно установлен 30-летний срок хранения записей.

Предоставление В законодательстве прямо запрещено предварительное услуг сертификации утверждение ПСУ. Уведомление является обязательным для всех провайдеров сертификационных услуг. Органом, ответственным за телекоммуникациям и почте). Стоимость уведомления варьируется ПСУ, зарегистрированные в Греции, являются поднадзорными организациями; поднадзорность не обеспечивается путём проведения аудитов. Критериев соответствия нет; проверки соответствия касаются лишь соблюдения провайдерами закона об В законе предусмотрена добровольная аккредитация; данная схема еще не реализована. Подготавливаются правила оценки и критерии аккредитации. Греческая система не стимулирует аккредитацию.

Количество 5 поднадзорных ПСУ, 2 ПСУ зарегистрировались как провайдеров выпускающие квалифицированные сертификаты.

сертификационных услуг Использование ЭЦП В законодательстве определены специальные требования к в государственном использованию ЭЦП в государственном секторе.

секторе Оценка соответствия Предусмотрена обязательная аттестация защищенных устройств защищённых создания подписей (SSCD); организация, ответственная за устройств создания аттестацию, пока не назначена.

подписей Использование Презумпция соответствия требованиям стандартов, стандартов (ст. 3.5) присутствующих в официальном бюллетене. При отсутствии таких стандартов признаются действительными соответствующие национальные стандарты либо стандарты, разработанные Обеспечение Форум eBusiness создал рабочую группу по ЭЦП.

совместимости Рынок продуктов и ASYK выпущено около 1000 квалифицированных сертификатов услуг ЭЦП для передачи информации от компаний на Афинскую биржу на Осуществляется электронное банковское обслуживание для физических и юридических лиц на основе неквалифицированных Веб-ссылки http://www.eett.gr/gr_pages/index2.htm http://www.ebea.gr/ecomm/legal/index.htm index.php?op=modload&modname=Downloads&pageid= Ирландия Транспонирование Акт об электронной коммерции-2000, вступивший в силу Директивы сентября 2000 года.

Определения Хотя и не пересказаны дословно, определения ЭЦП, (ст. 2) подписывающего лица, ПСУ и современного стандарта Типы подписей «Базовая» согласно Директиве и усовершенствованная ЭЦП (отвечающая тем же требованиям, что представлены в Директиве).

Официальное Все ЭЦП могут являться функциональными эквивалентами признание собственноручной подписи. Там, где требуется наличие подписи, эквивалентности может использоваться ЭЦП, при условии, что: 1) получатель ЭЦП согласен с использованием ЭЦП; 2) если получатель является собственноручной государственным органом, соблюдаются предъявленные им подписи процедурные и информационно-технологические требования.

(ст. 5.1) Дополнительные требования к: 1) ЭЦП, заверяемой электронным основываться на современном стандарте шифрования (AES) и квалифицированном сертификате); 2) запечатывании документов электронным способом (в числе четырех условий, изложенных в законе, присутствует следующее: документ должен включать AESподпись, основанную на квалифицированном сертификате лица/государственного органа, которое должно запечатать Юридическая сила Реализуется в различных статьях, наиболее прямой является ЭЦП (ст. 5.2) следующая формулировка: «Никакой информации не может быть отказано в юридической или исковой силе либо достоверности на том лишь основании, что она представлена в электронной форме».

ЭЦП не могут использоваться в завещаниях и доверенностях, при доверительном управлении и инвестировании в недвижимое заявлений, в регламентах, практике и процедурах суда (трибунала), если иное не предусмотрено специальным законодательством.

Существенные К настоящему времени судебные решения, касающиеся прецеденты использования или юридической силы ЭЦП, не принимались.

Ответственность Прямое транспонирование. Статья применяется только к ПСУ, (ст. 6) которые выдают квалифицированные сертификаты, и отвечают за любой ущерб, нанесенный лицу или государственному органу, который обоснованно доверяет сертификату. Список источников ответственности аналогичен Директиве, с одним только отличием:

«устройство создания подписи» и «устройство проверки подписи».

Статьи, относящиеся к нерегистрации отзыва сертификата, те же.

Признается бремя доказательства противного. Ограничения Международные По вопросам территориальности в Акте не сказано ничего.

аспекты (ст. 7) Видимо, квалифицированные сертификаты, выданные всеми ПСУ, Защита данных Не упоминаются какие-либо правила, имеющие прямое отношение (ст. 8) к защите данных. Псевдонимы не упоминаются.

Реализация Приложения I, II и III скопированы дословно. Приложение IV не Приложений транспонируется.

Предоставление В законодательстве прямо запрещено предварительное услуг сертификации утверждение ПСУ. Уведомление не является обязательным; тем не Существуют правоприменительные акты, которые вводят систему квалифицированные сертификаты. Система надзора пока еще не создана («надзирать пока не за чем: рынок недостаточно развит»).

Существуют правоприменительный акт, создающий систему добровольной аккредитации. Акт прошел стадию проекта, но ещё тем не менее, проект постановления включает схему, основанную Количество ПСУ, выдающих квалифицированные сертификаты, пока нет. Тем провайдеров не менее, один ПСУ был аккредитован NAB (Национальной сертификационных палатой аккредитации).

услуг Использование ЭЦП В законодательстве определены специальные требования к в государственном использованию ЭЦП в государственном секторе.

секторе Оценка соответствия Существуют правоприменительные акты, описывающие порядок защищённых назначения лиц или организаций, которые должны определять устройств создания соответствие защищенных устройств создания подписей подписей требованиям Приложения III. В настоящий момент ни одно Использование Презумпция соответствия требованиям стандартов, стандартов (ст. 3.5) присутствующих в официальном бюллетене, отсутствует. Никакие Обеспечение Департамент связи заявил, что Правительство не заинтересовано в совместимости обеспечении совместимости на национальном уровне. Вместо этого, по всей видимости, совместимость предполагается Рынок продуктов и Одним аккредитованным ПСУ уже было выпущено несколько сот услуг ЭЦП квалифицированных сертификатов. Несколько тысяч неквалифицированных сертификатов, эквивалентных собственноручным подписям, выдано службой «Revenue On-Line»