Правовая основа внедрения и использования электронно-цифровой подписи в делопроизводстве

Нормативное обеспечение использования ЭЦП

В 1994 г. была принята первая часть Гражданского кодекса РФ (от 30.11.94 № 51-ФЗ), в котором в ст. 160 ("Письменная форма сделки") была оговорена возможность использования при совершении сделок "электронно-цифровой подписи... в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон", а ст. 434 также предусматривала возможность заключения договора "путем обмена документами посредством... электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору".

Немногим раньше письмом Высшего Арбитражного Суда РФ от 19.08.94 № С1-7/ОП-587 "Об отдельных рекомендациях, принятых на совещаниях по судебно-арбитражной практике" подтверждалась возможность принятия в качестве доказательств документов, изготовленных в электронном виде и подписанных электронной цифровой подписью, при наличии в договоре процедуры согласования разногласий и порядка доказательства подлинности договора и достоверности подписей. При возникновении спора о наличии документов, подписанных электронно-цифровой подписью, стороны должны предъявить выписку из договора, в котором указана процедура порядка согласования разногласий.

Всего через несколько месяцев был принят Федеральный закон от 20.02.95 № 24-ФЗ "Об информации, информатизации и защите информации" (В настоящее время данный закон утратил силу. Ему на смену пришел Федеральный закон от 27.07.06 № 149-ФЗ "06 информации, информационных технологиях и о защите информации"), в котором утверждалось: "Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью.

Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования".

В соответствии с законом было выпущено еще одно письмо Высшего Арбитражного Суда РФ от 07.06.95 № С1-7/03-316, в котором уже на основании формулировок нового закона говорилось, что при подтверждении юридической силы документа с электронной цифровой подписью такой документ может признаваться в качестве доказательства по делу, рассматриваемому арбитражным судом.

Использование документов в электронной форме регулировалось и ведомственными нормативными документами.

Пример - Временное положение от 12.03.98 № 20-П "0 правилах обмена электронными документами между Банком России, кредитными организациями (филиалами) и другими клиентами Банка России при осуществлении расчетов через расчетную сеть Банка России" (Указание ЦБ РФ от 11.04.00 № 774-У).

Однако все законодательные и нормативно-методические документы предусматривали признание юридической силы ЭЦП только на уровне двусторонних соглашений при условии предварительного заключения между договаривающимися сторонами соглашения о взаимном признании документов, подписанных ЭЦП. То есть организации должны были сначала заключить в письменном виде договор о взаимном признании электронных документов, чтобы потом уже начинать ими обмениваться. Это позволило организовать работу систем типа "клиент - банк", но не дало возможности перевести электронные документы в сферу публичных взаимоотношений. Нужна была технология, позволяющая приравнять возможно­сти использования электронных и обычных документов.

Для решения этой задачи был принят Федеральный закон от 10.01.02 № 1-ФЗ "Об электронной цифровой подписи", целью которого как раз было "обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе".

Юридическую силу электронно-цифровой подписи подтвердил и принятый в прошлом году Федеральный закон от 27.07.06 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", ст. 11 которого гласит, что "электронное сообщение, подписанное электронной цифровой подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях, если федеральными законами или иными нормативными правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе". То есть во всех случаях, когда в законодательстве прямо не указано, что документ должен быть составлен на бумаге, мы имеем право использовать электронные документы.

Также в ст. 11 говорится: "В целях заключения гражданско-правовых договоров или оформления иных правоотношений, в которых участвуют лица, обменивающиеся электронными сообщениями, обмен электронными сообщениями, каждое из которых подписано электронной цифровой подписью или иным аналогом собственноручной подписи отправителя такого сообщения, в порядке, установленном федеральными законами, иными нормативными правовыми актами или соглашением сторон, рассматривается как обмен документами".

Нормативное обеспечение и технология деятельности удостоверяющих центров

Если при использовании подписи на бумажном документе его юридическая сила может быть уточнена сверкой имеющейся подписи под документом с другими образцами подписи этого человека, а в случае судебного разбирательства - с помощью графологической экспертизы, то при внедрении технологии ЭЦП было необходимо обеспечить систему, позволяющую при получении (открытии) любого электронного документа, подписанного ЭЦП, однозначно идентифицировать подписавшего документ, а также установить отсутствие искажения информации в электронном документе после подписания. Технически система подписания предусматривает использование криптографической технологии (шифрования) с подписанием документа с помощью закрытого (секретного) ключа и проверки подписи с помощи общедоступного (публичного) или, как еще его называют, открытого ключа.

Применение этой технологии предусматривает наличие удостоверяющих центров, которые будут выдавать закрытые ключи для подписания документов и поддерживать общедоступную базу открытых ключей, служащих для проверки подписи.

Во многом Закон об электронной цифровой подписи (далее - Закон) является как раз законом об удостоверяющих центрах -им посвящена глава 3. Думается, что именно задержками с созданием единой сети удостоверяющих центров и объясняется промедление с массовым распространением электронно-цифровой подписи, т. к. широкое применение электронно-цифровой подписи требует организации соответствующей инфраструктуры массовой выдачи закрытых ключей (для подписания документов) и распространения открытых ключей (для проверки достоверности электронно-цифровой подписи). Для обозначения инфраструктуры распространения ключей часто используется английская аббревиатура PKI (public key infrastructure).

В соответствии с постановлением Правительства РФ от 30.06.04 № 319 "Об утверждении положения о Федеральном агентстве по информационным технологиям" организация подтверждения подлинности "электронных цифровых подписей уполномоченных лиц удостоверяющих центров в выданных ими сертификатах ключей подписей", "ведение единого государственного реестра сертификатов ключей подписей удостоверяющих центров и реестра сертификатов ключей подписей уполномоченных лиц федеральных органов государственной власти", а также "обеспечение доступа к ним граждан, организаций, органов государственной власти и органов местного самоуправления" было возложено на Федеральное агентство по информационным технологиям. Для чего нужна центральная структура?

Дело в том, что, получив документ, подписанный электронно-цифровой подписью, следует обратиться в удостоверяющий центр, выдавший данному лицу подпись для получения сертификата ключа подписи, т. е. открытого ключа для проверки правильности подписи. Однако возникает вопрос: можно ли доверять этому удостоверяющему центру, была ли проверена личность заявителя перед выдачей ему сертификата? Тут деятельность удостоверяющих центров чем-то напоминает деятельность нотариусов. Поэтому и возникает в ст. 10 Закона уполномоченный федеральный орган, который "ведет единый государственный реестр сертификатов ключей подписей, которыми удостоверяющие центры, работающие с участниками информационных систем общего пользования, заверяют выдаваемые ими сертификаты ключей подписей, обеспечивает возможность свободного доступа к этому реестру и выдает сертификаты ключей подписей соответствующих уполномоченных лиц удостоверяющих центров".

Задержка с внедрением ЭЦП в сферу публичных взаимоотношений произошла во многом из-за неурегулированности вопросов создания корневого (головного) удостоверяющего центра, который должен регистрировать все удостоверяющие центры.

Так, например, распоряжение правительства Москвы "О создании московского головного регионального удостоверяющего центра" появилось еще 10.04.03 (№ 568-РП), а открытие Головного удостоверяющего центра г. Москвы (ГУЦ) состоялось только 01.12.06.

Удостоверяющий центр по заявлению организации или физического лица создает для заявителя ключ, предназначенный для подписания документов, и сертификат ключа подписи, включающий открытый ключ для проверки электронно-цифровой подписи. Сертификат ключа подписи может включать как фамилию, имя, отчество, так и должность (с указанием наименования и местонахождения организации, в которой установлена эта должность) и квалификацию владельца сертификата ключа подписи, а также иные сведения, подтверждаемые соответствующими документами. Таким образом, поскольку сертификат ключа подписи создается по письменному заявлению, личность заявителя и другие вносимые сведения подтверждаются соответствующими документами - это гарантирует соответствие личности подписавшего документ сведениям, указанным в сертификате ключа подписи. При этом в соответствии с п. 4 ст. 9 Закона "услуги по выдаче участникам информационных систем сертификатов ключей подписей, зарегистрированных удостоверяющим центром, одновременно с информацией об их действии в форме электронных документов оказываются безвозмездно". То есть для проверки подлинности подписи поступившего документа никаких расходов не требуется.

Еще одна проблема - вопрос хранения открытых ключей, служащих для проверки подлинности электронно-цифровой подписи. В соответствии со ст. 7 Закона срок хранения открытого ключа в удостоверяющем центре не может быть меньше установленного законодательством срока исковой давности по документам, подписанным ЭЦП, после чего открытый ключ переводится в режим ар­хивного хранения.

Законом установлен срок архивного хранения не менее пяти лет, т. е., например, суммарный срок хранения открытых ключей для документов временного (5 лет) срока хранения должен составить 10 лет.

ЭЦП в делопроизводстве

С точки зрения делопроизводства мы имеем ряд нововведений по сравнению с традиционными технологиями работы с документами. В первую очередь это связано с тем, что в файл документа, подписанного ЭЦП, нельзя вносить изменения. Контрольная сумма ("хэш-сумма") по документу является основной составной частью ЭЦП и гарантирует, говоря языком Закона, "отсутствие искажения информации в электронном документе после подписания". Из этого вытекает ряд изменений.

Если раньше при работе с бумажным документом сотрудник, обнаружив после его подписания опечатку, мог аккуратно исправить документ ручкой, что-то замазать, а в многостраничном документе с подписью только на последней или первой странице - даже заменить отдельные листы документа, то при использовании ЭЦП это уже невозможно - любое внесение изменений в документ приведет к тому, что ЭЦП документа будет недействительна.

По этой же причине в документе, подписываемом ЭЦП, недопустимо наличие автоматически обновляемых полей, часто присутствующих в шаблонах документов, например "дата печати документа", "местонахождение файла документа" и т. п. Автоматическое обновление поля в документе также приведет к тому, что документ изменится и ЭЦП аннулируется.

Еще одно существенное изменение технологий связано с тем, что обычно после подписания бумажный документ передается в службу ДОУ (канцелярию, общий отдел, секретариат), где он регистрируется и на нем проставляется регистрационный номер. Так как в файле документа после его подписания изменений допускать нельзя, значит, регистрационная информация должна вноситься только в регистрационную карточку на документ. Таким образом, только в регистрационной карточке (базе данных по документу) хранятся резолюции и другие реквизиты, которые раньше традиционно наносились на бумажный документ.

Соответственно если традиционный документ- это лист бумаги со всеми имеющимися на нем реквизитами, отражающими жизненный цикл документа (дата, подпись, регистрационный номер, отметка о получении, резолюция, отметка об исполнении и направлении в дело и т. п.), то электронный документ - это файл с ЭЦП, открытый ключ для проверки подписи и запись в базе данных, т. е. электронная карточка, прикрепленная к документу и содержащая все необходимые реквизиты и сведения о его жизненном цикле.

Для работы с юридически значимыми электронными документами необходимо специализированное программное обеспечение, система электронного делопроизводства (СЭД), поэтому в этой ситуации на первый план по значимости выходит вопрос выбора и внедрения такой системы, обеспечивающей работу с электронными документами и ЭЦП для всех сотрудников организации.

Поскольку единого стандарта для обмена документами в электронной форме и передачи их в государственные архивы между организациями пока не существует (хотя в настоящее время ВНИИ документоведения и архивного дела (ВНИИДАД) уже разрабатывает методические рекомендации по организации работы с электронными документами), то здесь можно посоветовать ориентироваться на наиболее массовые программные продукты, которые в дальнейшем могут быть легко доработаны, как только соответствующие нормативно-методические документы будут приняты.