ГРАЖДАНСКОЕ ПРАВО
В. И. Квашнин*
ОТВЕТСТВЕННОСТЬ ПРИ ЗАКЛЮЧЕНИИ СДЕЛОК С ИСПОЛЬЗОВАНИЕМ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ
На практике при заключении сделок с использованием электронной цифровой подписи (далее — ЭЦП) ответственность может наступить, прежде всего, у следующих субъектов: в связи с использованием несертифицированных средств при создании ЭЦП у распространителей и создателей; у владельца и пользователя ЭЦП (предпринимательские и не предпринимательские риски); у удостоверяющих центров (далее — УЦ).
Ответственность в связи с использованием несертифицированных средств при создании ЭЦП (распространителей и создателей)
Согласно п. 2 ст. 5 ФЗ «Об электронной цифровой подписи«1 (далее — ФЗ «Об ЭЦП») при создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства ЭЦП. Возмещение убытков, причиненных в связи с созданием ключей ЭЦП несертифицированными средствами ЭЦП, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации.
До настоящего времени создание средств ЭЦП относится к лицензируемым видам деятельности. В соответствии с Федеральным законом от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности» лицензированию подлежит деятельность по разработке и производству, распространению, техническому обслуживанию шифровальных (криптографических) средств, а также предоставление услуг в области шифрования информации.2 Пунктом 2 ст. 14.1 Кодекса об административных
* Квашнин Владислав Игоревич — аспирант кафедры коммерческого права СПбГУ.
© В. И. Квашнин, 2010
E-mail: contact@digesta.ru
1 Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» // СЗ РФ. 2002. № 2. Ст. 127.
2 Подпункты 5-8 п. 1 ст. 17 Федерального закона «О лицензировании отдельных видов деятельности» (в редакции федеральных законов № 28-ФЗ от 13 марта 2002 г., № 31-Ф3 от 21 марта 2002 г., № 164-ФЗ от 9 декабря 2002 г., № 17-ФЗ от 10 января 2003 г., № 29-ФЗ от 27 февраля 2003 г., № 32-Ф3 от 11 марта 2003 г., № Зб-ФЗ от 26 марта 2003 г., № 185-ФЗ от 23 декабря 2003 г., № 127-ФЗ от 2 ноября 2004 г., № 20-ФЗ от 21 марта 2005 г., № 80-ФЗ от
2 июля 2005 г.) // Российская газета. 2001. 10 авг.
правонарушениях РФ3 (далее — КоАП РФ) предусмотрено наказание за осуществление предпринимательской деятельности без специального разрешения (лицензии), если такое разрешение (такая лицензия) обязательно (обязательна), которое влечет наложение административного штрафа на граждан в размере от двадцати до двадцати пяти минимальных размеров оплаты труда с конфискацией изготовленной продукции, орудий производства и сырья или без таковой; на должностных лиц — от сорока до пятидесяти минимальных размеров оплаты труда с конфискацией изготовленной продукции, орудий производства и сырья или без таковой; на юридических лиц — от четырехсот до пятисот минимальных размеров оплаты труда с конфискацией изготовленной продукции, орудий производства и сырья или без таковой.
Также согласно п. 1 ст. 13.12 КоАП РФ существует наказание за нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), которое влечет наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц — от пяти до десяти минимальных размеров оплаты труда; на юридических лиц — от пятидесяти до ста минимальных размеров оплаты труда.
Рассмотрим пример, когда банк предлагает своим клиентам использовать систему «Банк-Клиент», основанную на применении ЭЦП. Согласно вышеперечисленному по смыслу ФЗ «Об ЭЦП» это использование будет происходить в рамках корпоративной системы, и необходимости в использовании сертифицированных средств ЭЦП здесь как бы не возникает, но к числу видов лицензируемой деятельности в сфере защиты информации относятся помимо всего прочего: деятельность по распространению шифровальных (криптографических) средств, следовательно, банку, если он передает своему клиенту такие средства, необходимо обладать соответствующей лицензией. А согласно Положению по лицензированию деятельности по распространению шифровальных (криптографических) средств, утвержденному Постановлением Правительства Российской Федерации от 29 декабря 2007 г. № 957,4 средства ЭЦП относятся к шифровальным (криптографическим) средствам. Все это порождает проблему лицензирования: распространение криптографических (шифровальных) средств или предоставление услуг в области шифрования информации может являться одновременно и оказанием услуг, связанных с использованием ЭЦП, что потребует получения лицензии даже в корпоративных системах.
Однако законодатель в ФЗ «Об ЭЦП» не указывает, кому должны быть возмещены убытки. Думается, что императивные требования сертификации средств ЭЦП в данном случае установлены, прежде всего, в интересах участников информационной системы общего пользования.
Обязанности по доказыванию недобросовестности изготовителя или распространителя в таких случаях будут лежать на приобретателе ключа ЭЦП, который обязан удостовериться в сертификации прав и средств изготовителя и распространителя. ФЗ «Об ЭЦП» не устанавливает какой-либо ответственности по возмещению убытков на
3 Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ // Там же. 2001. 31 дек.
4 Положение по лицензированию деятельности по распространению шифровальных (криптографических) средств, утв. Постановлением Правительства Российской Федерации от 29 декабря 2007 г. № 957 // СЗ РФ. 2008. № 2. Ст. 86.
создателей и распространителей сертифицированных средств ЭЦП в связи с использованием таких сертифицированных средств по созданию и применению ключей электронной цифровой подписи. Если государственная сертификация средств подписи имеет какой-то смысл, то он может заключаться именно в том, чтобы дать гарантии и снять риски убытков пользователям.
На наш взгляд, было бы правильнее возложить ответственность на владельца закрытого ключа ЭЦП, использующего несертифицированные средства для ее создания, в том случае, если он не обеспечил уведомление пользователей сертификата ключа подписи об отсутствии сертификата на средство ЭЦП. Подобные положения содержал п. 3 ст. 4 проекта Федерального закона «Об электронной цифровой подписи» В. А. Тарачева и А. Н. Шохина,5 аналогичной позиции придерживается В. А. Копылов.6
А последний законопроект «Об электронной подписи«,7 внесенный депутатами Государственной Думы ФС РФ О. В. Морозовым, В. А. Васильевым, В. В. Володиным, В. Я. Комиссаровым, П. В. Крашенинниковым, В. М. Резником, В. Н. Плигиным, К. Б. Шипуно-вым 25 декабря 2009 г. и принятый ГД ФС РФ в первом чтении 22 января 2010 г., в п. 4 ст. 8 вовсе предлагает оставить обязательную сертификацию только для средств ЭЦП, предназначенных для подписания электронных документов, которые содержат сведения, составляющие государственную тайну, или предназначенных для использования в информационной системе, которая обрабатывает информацию, содержащую сведения, составляющие государственную тайну.
Следует напомнить, что запрет на создание, распространение и использование не-сертифицированных средств ЭЦП в корпоративной информационной системе отсутствует. Производители и распространители несертифицированных средств ЭЦП не обязаны выяснять, для использования в какой информационной системе такие средства приобретаются. Вышесказанное позволяет сделать вывод о том, что правовые основания для возложения ответственности на создателей и распространителей несерти-фицированных средств ЭЦП отсутствуют.
Ответственность владельцев и пользователей ЭЦП
ФЗ «Об ЭЦП» не упоминает, что существует также административная ответственность и пользователей несертифицированными средствами по п. 2 ст. 13.12 КоАП, согласно которой использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц — от десяти до двадцати минимальных размеров оплаты труда; на
5 Проект Федерального закона «Об электронной цифровой подписи» В. А. Тарачева и А. Н. Шохина № 33842-3 // http://www.duma.gov.ru.
6 Копылов В. А. О применении Федерального закона «Об электронной цифровой подписи» для регулирования отношений в административном и гражданском электронном документообороте // http://ilaw.nm.ru/
publication/skecprags.htm.
7 Проект Федерального закона «Об электронной подписи» О. В. Морозова, В. А. Васильева, В. В. Володина, В. Я. Комиссарова, П. В. Крашенинникова, В. М. Резника, В. Н. Плигина, К. Б. Шипунова № 305592-5 // http:// www.duma.gov.ru.
юридических лиц — от ста до двухсот минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой.
Согласно положению о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, утвержденному Приказом ФСБ от 9 февраля 2005 г. № 66,8 которое регулирует отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее — информация конфиденциального характера), шифровальные (криптографические) средства защиты информации конфиденциального характера в этом положении именуются средствами криптографической защиты информации (далее — СКЗИ), и к ним прямо отнесены средства электронной цифровой подписи.
Согласно п. 3 данным положением необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях:
— если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;
— при организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации (далее — государственные органы);
— при организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд (далее — организации, выполняющие государственные заказы);
— если обязательность защиты информации конфиденциального характера возлагается законодательством Российской Федерации на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации;
— при обрабатывании информации конфиденциального характера, обладателем которой являются государственные органы или организации, выполняющие государственные заказы, в случае принятия ими мер по охране ее конфиденциальности путем использования средств криптографической защиты;
— при обрабатывании информации конфиденциального характера в государственных органах и в организациях, выполняющих государственные заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптографической защиты данной информации.
В связи с этим можно сделать вывод, что ясность в сфере обязательной сертификации криптографических средств (средств ЭЦП) отсутствует. Вместе с тем, если в случае взаимодействия по заключению контракта между предпринимателем и государственным органом будет использовано несертифицированное средство ЭЦП, наступит ответственность по п. 2 ст. 13.12 КоАП. Также ответственность может наступить, если информация, которая передается посредством несерцифицированных средств, носит
8 Приказ ФСБ от 9 февраля 2005 г. № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» // Российская газета. 2005. 19 марта.
конфиденциальный характер и подлежит защите в соответствии с законодательством Российской Федерации.
Требования Положения ПКЗ-2005 носят рекомендательный характер при разработке, производстве, реализации и эксплуатации:
— средств криптографической защиты информации, доступ к которой ограничивается по решению обладателя, пользователя (потребителя) данной информации, собственника (владельца) информационных ресурсов (информационных систем) или уполномоченных ими лиц, не являющихся государственными органами или организациями, выполняющими государственные заказы;
— средств электронной цифровой подписи, предназначаемых для использования в электронном документообороте, информация которого не относится к информации конфиденциального характера.
СКЗИ должны удовлетворять требованиям технических регламентов, оценка выполнения которых осуществляется в порядке, определяемом Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании«.9
Также согласно ст. 12 ФЗ «Об ЭЦП» владелец сертификата несет следующие обязательства:
— не использовать для ЭЦП открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее;
— хранить в тайне закрытый ключ ЭЦП;
— немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа ЭЦП нарушена.
Источник