ЭП и ЭЦП: в чем разница?

С 1 июля 2012 термин “электронно-цифровая подпись” должен кануть в Лету и быть заменен термином “электронная подпись”. Рассмотрим, чем отличаются эти понятия и что нового принес федеральный закон № 63-ФЗ банковскому сообществу.

Что произошло

Шестого апреля 2011 года вступил в силу Федеральный закон N 63-ФЗ "Об электронной подписи". К моменту его принятия в России с 10 января 2002 года действовал Федеральный закон N 1-ФЗ "Об электронной цифровой подписи".

Нельзя сказать, что старый ФЗ был уж совсем неудобный, но некоторая неполнота в нем присутствовала.

Примечательно, что новый закон не отменяет старый: 1-ФЗ действует до 1 июля 2012 года. Таким образом, до указанной даты оба закона действуют одновременно. Очевидно, в этот период существующие правоотношения и действующие договоры, содержащие упоминание об ЭЦП, нужно привести в соответствие с новым федеральным законом.

С 1 июля 2012 сам термин “электронно-цифровая подпись” (ЭЦП) должен кануть в Лету и быть заменен термином “электронная подпись” (ЭП). Этой статьей предпринята попытка вкратце описать, чем эти понятия отличаются и что нового принес новый федеральный закон банковскому сообществу, и не только.

Что нового

Прежний 1-ФЗ распространялся только на гражданско-правовые отношения и на случаи, прямо предусмотренные законодательством.

Закон 63-ФЗ “регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий”. Таким образом, в поле регулирования нового федерального закона попали и услуги, оказываемые государством. Немаловажно и то, что теперь любые “юридически значимые” действия, в которых для подтверждения, как минимум, авторства используется электронный идентификатор (логин, пароль и пр.) должны происходить в соответствии с новым федеральным законом. Старый, 1-ФЗ, не носил такого всеобъемлющего характера. Эта всеохватность – основное отличие нового федерального закона.

Для банков это означает, что системы дистанционного банковского обслуживания, процессы обмена электронными документами с расчетными центрами Банка России, банками-корреспондентами, государственными, налоговыми органами и т.п. должны быть переработаны.

Вместе с расширением области применения федерального закона увеличилось и количество видов электронной подписи: простая электронная подпись и усиленная электронная подпись, которая, в свою очередь, может быть квалифицированной и неквалифицированной.

Вкратце: простая электронная подпись подтверждает только авторство, причем к ней нет требований использования криптографии и наличия ключа проверки. Усиленная неквалифицированная позволяет и определить автора, и доказать неизменность электронного документа. Требуется обязательно использование криптографии и наличие ключа. Усиленная квалифицированная электронная подпись отличается от неквалифицированной подписи тем, что:

• сертификат ключа проверки выдан не любым удостоверяющим центром, а аккредитованным, либо уполномоченным федеральным органом;

• для создания и проверки ЭП используются не любые средства электронной подписи, а те, которые получили подтверждение соответствия требованиям 63-ФЗ. Выдавать такие подтверждения должен уполномоченный орган исполнительной власти.

В новом законе прямо сказано, что документ, подписанный ЭЦП по 1-ФЗ, до окончания действия федерального закона (01 июля 2012 года), приравнивается к документу, подписанному квалифицированной электронной подписью.

Владельцем электронной подписи теперь может быть не только физическое лицо, но и юридическое. Эта возможность также относится к сильным сторонам нового федерального закона. Причем, в некоторых случаях, в сертификате электронной подписи юридического лица может вообще не указываться никакое физическое лицо. То есть при смене руководства или учредителей юридического лица его электронная подпись остается без изменений.

По старому закону ЭЦП всегда принадлежала физическому лицу. Это приводило к определенным неудобствам – либо подписи нужно выдавать сразу нескольким ответственным сотрудникам, чтобы они могли заменять друг друга, либо часто менять ключи при смене ответственного исполнителя. В договорах между юридическими лицами нужно было особо обговаривать признание подписей физических лиц – ответственных сотрудников сторон по договору. Новый закон позволяет выдать сертификат электронной подписи непосредственно юридическому лицу без указания лица физического.

Наличие электронной подписи у юридического лица снимает и некоторые противоречия старого ФЗ и отдельных нормативных актов Банка России - например, положения № 20-П, регламентирующего электронный обмен коммерческих банков и Центрального банка, в котором используется понятие ЭЦП юридического лица, отличное от 1-ФЗ, или положения 17-П, регламентирующего обмен информацией банков и клиентов, где используется понятие АСП клиента, которым может быть и юридическое лицо. Таким образом, теперь гораздо проще так составить договора по дистанционному банковскому обслуживанию, что они будут удовлетворять и законодательству, и нормативным актам Банка России.

Документ, подписанный квалифицированной электронной подписью, признается равнозначным бумажному документу, подписанному собственноручно. Ранее ЭЦП признавалась сторонами в рамках соглашения этих сторон. Теперь же квалифицированная электронная подпись подлежит признанию без дополнительных соглашений. Это тоже очень важная особенность нового федерального закона – возможность физическим и юридическим лицам получить электронную подпись, признаваемой неопределенным кругом участников правоотношений при совершении любых юридически значимых действий.

Дело за малым – необходима организация головного удостоверяющего центра и аккредитованных УЦ. Не думаю, что головной удостоверяющий центр появится в ближайшее время – слишком много работы нужно провести, в том числе принять ряд нормативных актов. Довольно затратным мероприятием будет и обеспечение государственных органов средствами проверки квалифицированных электронных подписей; ведь отказать в приеме документа, подписанного ими, уже нельзя. Сами федеральные министерства и ведомства, как и муниципальные структуры, не всегда оперативно и с разной скоростью включаются в электронный документооборот с гражданами (пример тому - сайт www.gosuslugi.ru). Но само наличие такой юридически значимой подписи, в принципе, позволяет банку заключать договора без личной встречи с клиентом.

Еще бы законодательство по борьбе с терроризмом чуть изменить, чтобы не проводить идентификацию клиента, обладающего квалифицированной подписью…

Новые вопросы без ответов

Как почти любой нормативный акт, закон 63-ФЗ порождает и новые вопросы.

Правительство РФ должно еще определить, какие виды подписей и в каких случаях должны использовать органы исполнительной власти и местного самоуправления.

В каких случаях нельзя использовать никакую другую ЭП, кроме как квалифицированную усиленную электронную подпись?

Что делать, если физическое лицо, указанное в сертификате ключа проверки электронной подписи лица юридического утратило полномочия, или истекла его доверенность, или уволено, или, не дай бог, умерло? Менять всю подпись? Заменять физическое лицо в сертификате? Ответа пока нет.

А что, если указанное физическое лицо превысило свои полномочия в момент совершения сделки? Контрагент ведь ориентировался на подлинность электронной подписи юридического лица, а проверка подлинности и действительности подписи прошла успешно…

Новые возможности

Пожалуй, самая интересная из них – возможность принимать документы, подписанные квалицированной электронной подписью, наравне с бумажными подписанными документами, без заключения отдельных соглашений о взаимном признании электронной подписи. Заключение договоров дистанционного банковского обслуживания, на мой взгляд, сильно упростится. Клиенту не нужно являться в банк (если договор счета уже открыт и клиент идентифицирован). Не нужно подписывать дополнительное соглашение к договору банковского счета. Не нужно генерировать ключи и обмениваться ими. Нужно только привести свои системы дистанционного банковского обслуживания к новым реалиям (и дождаться появления инфраструктуры, поддерживающей квалифицированные электронные подписи).

Да и любые другие договора, кредитные, например, можно будет заключать без появления клиента в банке. Документы и условия – согласовывать по электронным каналам связи, сами документы – хранить в электронном виде. Электронная подпись есть, бумага не нужна, операционный зал и клиентские подразделения уменьшаем. Красота! Так и представляется исключительно технологичный банк, в который лично приходят только те клиенты, которым нужно живое человеческое слово (еще, возможно, VIP-клиенты), а весь массовый бизнес вынесен в Сеть… Большой шаг в этом направлении со стороны государства уже сделан.

Нужно будет всего лишь обеспечить признание “чужих подписей” – выданных не своим УЦ. Тут и кроется основная сложность. До сих пор в рамках двусторонних отношений банк сам выдавал ключи при заключении договоров дистанционного банковского обслуживания, либо получал такие ключи от своих контрагентов. Эти договора содержали, как правило, и механизмы получения ключей, и процедуры признания электронно-цифровой подписи и алгоритмы разбора спорных ситуаций. После появления головного удостоверяющего центра и, соответственно, клиентов с квалифицированной подписью, нужно будет уметь признавать и ее. Причем подпись, предъявленную кем угодно, сертификат которой выдан заранее неизвестным удостоверяющим центом. Тут основная работа ляжет, конечно, на разработчиков систем криптозащиты и дистанционного банковского обслуживания. Но игра, похоже, стоит свеч.

К чему готовиться

До 01 июля 2012 года предстоит проверить все договоры банка об электронном обмене с использованием ЭЦП на предмет соответствия используемой подписи 63-ФЗ. Порядок электронного взаимодействия банка с государственными структурами, ЦБ РФ, ФНС, ФСС и пр. в настоящее время определяется самими этими структурами. Банк просто играет по предложенным правилам, изменить которые нельзя. Здесь, очевидно, следует ждать инициативы и регламентации от этих органов.

Договоры же банка с клиентами стоит посмотреть внимательно: к какому из видов ЭП относится используемая в данном договоре подпись. Если она неквалифицированная или простая – то вопросов нет, только, может быть, стоит уточнить формулировки договоров с целью соответствия 63-ФЗ, но пользоваться ими можно и далее. Если же требуется использовать квалифицированную подпись, то можно пользоваться тем, что есть, до 1 июля 2012 года. А вот после этой даты придется или выдавать/получать неквалифицированную подпись, или организовать собственный аттестованный удостоверяющий центр для выдачи квалифицированных сертификатов ЭП, либо прибегнуть к услугам стороннего аттестованного УЦ (сейчас их нет). Большой вопрос – появится ли аттестованные центры и аттестующий орган к указанной дате.

Нужно готовиться к обязательности приема квалицированных электронных подписей, выданных сторонними удостоверяющими центрами. Большинство используемых сейчас в электронном документообороте программных продуктов использует “знакомые” подписи.

Кроме того, в России существуют и используются системы, в которых разработчики хранят в сертификате подписи информацию не только о владельце, но и некоторые прикладные данные, в частности, область использования этого сертификата внутри системы (иногда даже номер счета) или права пользователя. Пользователям таких систем придется туго с появлением сторонних квалифицированных сертификатов – нужную информацию эти сертификаты содержать не будут, а признавать такие сертификаты нужно. Причины такого проектного решения - размещение в сертификате прикладных данных - всегда можно найти, но сейчас разработчикам и пользователям таких систем нужно крепко подумать и перепроектировать свои системы с целью исключения из сертификата всякой прикладной информации.