СЭД в законе и вне закона

Автор: Елена Некрасова
Источник: журнал "CIO"
Дата публикации: 11.2010

Внедряя автоматизированную систему документооборота, компания обретает возможность реализовать сквозные процедуры прохождения документов, связать воедино весь свой документооборот, обеспечить высокие стандарты внутрикорпоративного взаимодействия и существенное ускорение принятия решений. Однако "в нагрузку" к этим преимуществам получает ряд серьезных проблем, связанных с использованием электронных документов, в частности проблемы с обеспечением судебной защиты прав участников электронного документооборота.

Сами по себе электронные документы не имеют никакой юридической силы, поскольку лишены защиты от изменения и не обеспечивают конфиденциальность передаваемой информации. Чтобы документы в электронном виде имели "вес", нужен юридически значимый электронный документооборот (ЭДО).

Электронный документ обладает статусом юридической значимости, если соблюдены следующие условия:

• документ содержит обязательные реквизиты;

• подтверждены полномочия создателя, подлинность и аутентичность. Электронный документ содержит верную электронную цифровую подпись (аналог собственноручной подписи) лица, уполномоченного подписывать документы. Электронно-цифровая подпись (ЭЦП) не только обеспечивает подлинность электронного документа на стадиях отправки и получения, но и присутствует во всем жизненном цикле электронного документа: подписании, согласовании, утверждении, ознакомлении, последующем хранении и так далее. При этом применение ЭЦП в отношении данного типа документов не должно противоречить требованиям законодательства и соглашениям сторон;

• при создании ключей ЭЦП и их дальнейшем использовании применяются только сертифицированные средства электронной цифровой подписи и средства криптозащиты информации (СКЗИ);

• созданы регламенты использования ЭЦП для каждой отдельной системы ЭДО, либо используется какое-либо соглашение о применении ЭЦП. В таких документах должны быть изложены все моменты по использованию ЭЦП в ЭДО;

• жизненный цикл документа с момента его создания соответствует предъявляемым требованиям и порядкам обработки.

Для обеспечения юридической значимости электронного документа в пределах организации достаточно положения об ЭДО, утвержденного приказом первого лица организации. В случае электронного документооборота между двумя и более юридическими лицами возможны "добровольный" и "принудительный" сценарии. "Добровольный" реализуется по взаимному соглашению сторон. При "принудительном" юридически значимым обмен электронными сообщениями между сторонами признает суд.

Правовое регулирование отношений в области использования электронного документооборота осуществляется в соответствии с рядом законов и нормативных актов РФ:

• Федеральным законом "Об электронной цифровой подписи" от 10 января 2002 (№1 -ФЗ);

• Федеральным законом "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 года (№149-ФЗ);

• Гражданским кодексом РФ (статья 160);

• Федеральным законом "О связи".

Существует еще ряд законов, касающихся непосредственно видов документов, которые могут быть представлены в электронном виде, – например, Федеральный закон "О внесении изменений в часть первую и часть вторую Налогового кодекса РФ..." от 27 июля 2010 г. (№229-ФЗ), Арбитражный процессуальный кодекс РФ, законы "О персональных данных", "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд", "О государственной регистрации прав на недвижимое имущество и сделок с ним", "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования", "О кредитных историях" и др.

"К сожалению, данные законы содержат в себе слишком расплывчатое описание условий, при которых электронный документ может быть признан юридически значимым, и это приходится компенсировать дополнительными соглашениями между сторонами, обменивающимися электронными документами", – отмечает Василий Овчинников, и.о. начальника отдела информационной безопасности компании "ЭОС".

По взаимному согласию

Сертификатов, гарантирующих юридическую значимость ДО, не существует. Поэтому одно лишь использование сертифицированных средств не позволяет утверждать, что документооборот, реализованный с помощью СЭД, автоматически приобретает юридическую значимость. В каждой организации, помимо технических и программных средств, необходимо иметь регламент взаимодействия с использованием электронных средств обмена информацией – набор организационно-распорядительных документов, придающих юридическую силу (юридическое значение) электронным документам и обеспечивающих регулирование электронного документооборота. Если речь идет о внутреннем ЭДО, достаточно иметь утвержденное руководителем положение; для организации межорганизационного документооборота требуется соглашение сторон. В соглашении, подписанном всеми сторонами – участниками обмена электронными документами, должны быть конкретизированы требования закона №1-ФЗ (например, что считать "доказательством, определяющим момент подписания" и т. п.), определены виды документов, которые могут быть признаны сторонами юридически значимыми в электронной форме, условия безопасности применения электронных документов, описаны единые правила создания, хранения и передачи электронных документов.

"Такое решение может быть оформлено в виде стандарта предприятия – для внутрикорпоративной системы, либо в виде соглашения об использовании ЭЦП – для общедоступной или межкорпоративной системы, – поясняет Сергей Заболотний, руководитель проектов департамента информационных технологий компании "Интерпроком". – Необходимо создать правила, где определены условия перехода к ЭДО, порядок формирования, передачи, приема и обработки электронных документов, а также порядок организации использования средств криптографической защиты информации. И, разумеется, обязательно наличие совместимых технических средств и возможностей для приема и обработки электронных документов".

- Соглашения не должны противоречить существующим законам, регламентирующим хождение различных видов документов, – предупреждает Василий Овчинников. – В противном случае соглашения будут признаны недействительными, оснований для вступления в силу №1 -ФЗ не будет, и, как следствие, электронные документы юридически значимыми признаны быть не смогут.

Создать и сохранить

"При создании электронных документов следует руководствоваться ГОСТом 6.10.4-84 "Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники. Основные положения", – рассказывает Борис Кудрявцев, ведущий аналитик департамента технологий информационного менеджмента компании "АйТи". – Этот стандарт устанавливает требования к составу и содержанию реквизитов, которые придают электронному документу юридическую силу, а также порядок внесения в них изменений.

Согласно ГОСТу, электронный документ должен содержать:

• регистрационный номер;

• регистрационную дату;

• подпись (код) лица, ответственного за правильность изготовления документа или утвердившего документ;

• содержание документа;

• наименование организации – создателя документа;

• местонахождение организации – создателя документа или почтовый адрес.

Доверенное хранилище (ДХ), в котором аккумулируются электронные документы, как правило, представляет собой сложную систему, включающую логически единую находящуюся в сети базу данных, где производится многопользовательская ее обработка. Система защиты ДХ должна обеспечивать конфиденциальность (гарантию доступа к данным только определенных лиц), целостность (защиту от случайных и преднамеренных искажений и подмен) и готовность (возможность в любое время пользоваться документами в соответствии с установленной политикой безопасности) объектов ДХ.

- Обычно создание доверенных хранилищ так или иначе подразумевает использование криптографической защиты – а значит, и требования безопасности, которые необходимо соблюдать при использовании криптосредств, полностью актуальны и в данном случае, – разъясняет Василий Овчинников. – И, как и у любой криптосистемы, самым слабым элементом является человек, поэтому особое внимание следует уделить тем местам, где человеческий фактор может сыграть решающую роль.

Защита электронных документов необходима на всех этапах их жизненного цикла – от создания, обработки и хранения до передачи по каналам связи и уничтожения. Такая защита включает как технические средства, так и меры организационного характера, и должна быть направлена и на сами документы, и на программный комплекс электронного документооборота.

"Надо отметить, что обеспечение аутентичности и конфиденциальности электронных документов необходимо не только для защиты от утечек и потерь, но и для придания документам юридической силы", – напоминает Сергей Заболотний.

Игра по нечетким правилам

В процессе создания и использования юридически значимого документооборота компании вынужденно сталкиваются с рядом проблем.

Существующее законодательство не решает всех вопросов, связанных с организацией юридически значимого электронного документооборота. Для решения поставленной задачи, казалось бы, есть в наличии все необходимые компоненты: инструментарий, обеспечивающий интеграцию СЭД с сертифицированными средствами СКЗИ, развернутый удостоверяющий центр, набор нормативно-распорядительных документов, "легализующий" применение ЭЦП, сертифицированные СКЗИ... А надежного решения задачи создания в рамках СЭД юридически значимого ЭДО нет.

В настоящий момент практически единственным признаваемым большинством законов электронным аналогом собственноручной подписи признается ЭЦП. "В то же время для значительного процента транзакций эта технология избыточна, а ее применение неоправданно дорого, – считает Сергей Бушмелев, ИТ-аналитик DIRECTUM. – Ожидается, что новый закон "Об электронной подписи" позволит расширить сферу применения электронных документов и электронного документооборота. Если говорить о практике, то одной из проблем является то, что зачастую простой передачи электронного документа из системы в систему оказывается недостаточно: необходимо передать и метаданные, и контекст. Иными словами, приходится решать вопрос интероперабильности различных систем электронного документооборота".

Не существует сегодня единого федерального закона, регламентирующего деятельность делопроизводственных подразделений – как государственных, так и корпоративных учреждений и предприятий. Государственная система управления пока остается набором обособленных отраслевых и национальных программных продуктов, не собранных в единое целое. К чему приводит такая ситуация, наглядно демонстрирует пример, приведенный Сергеем Заболотним: "Со 2 сентября 2010 года введена возможность обмена электронными счетами-фактурами (п. 1 ст. 169 НК РФ). Однако применение новых положений будет возможно только после утверждения пакета нормативных правовых актов. Порядок выставления и получения счетов-фактур в электронном виде по телекоммуникационным каналам связи с применением электронной цифровой подписи должен быть установлен Минфином России. Чтобы обмен стал доступен, ФНС России должна утвердить форматы счета-фактуры, а также журнала учета полученных и выставленных счетов-фактур, книг покупок и книг продаж в электронном виде (п. 9 ст. 1 69 НК РФ)".

Существующие документы, как правило, носят статус рекомендательных, не обязательных для исполнения. При этом электронный документооборот – именно право, а не обязанность сторон. Следовательно, он является вспомогательным средством в дополнение к обычной процедуре документооборота.

Нередко возникают конфликтные ситуации, касающиеся авторства и целостности юридически значимых электронных документов, циркулирующих при информационном взаимодействии.

- В первую очередь к ним относятся ситуации, связанные с содержанием электронных документов, идентичностью экземпляров подлинника и копии ЭД на бумажном носителе либо их целостностью, – поясняет Сергей Заболотний. – Кроме того, потенциальный конфликт может возникнуть в случае сомнений в авторстве ЭД (подтверждение подлинности ЭЦП; полномочия лица, заверившего документ, и т. п.). Сбои в работе программно-технических средств тоже влекут проблемы: оспаривание как самого факта отправления и (или) получения ЭД, так и времени совершения данных действий.

Существующая ныне судебная практика, к сожалению, тоже не располагает к оптимизму: электронные документы чаще не принимают к рассмотрению.

Ряд недавно принятых законов, по мнению экспертов, может на корню уничтожить даже те робкие попытки использования электронного документооборота, которые предпринимаются сейчас (например, №152-ФЗ). Серьезным препятствием к широкому введению в практику электронного документооборота остается отсутствие какого-либо решения проблемы долговременного (сроком более года) хранения электронных документов.

Для решения проблемы "белых пятен" эксперты советуют разрабатывать локальные нормативные акты или учитывать в соглашениях сторон при организации ЭДО. "К сожалению, просто соблюдать требования закона от 10 января 2002 года №1 -ФЗ "Об электронной цифровой подписи" недостаточно, – отмечает Василий Овчинников. – Слишком расплывчатые требования им предъявляются, и, как следствие, сторонам, которые обмениваются документами, подписанными ЭЦП, требуется подписать дополнительные соглашения: они должны конкретизировать требования, изложенные в законе, и сделать документ юридически значимым. Кроме того, не каждый документ может быть представлен только в электронном виде – в связи с требованиями других законов, где описана необходимость предоставления ряда документов обязательно в бумажном виде".

Борис Кудрявцев называет несколько условий, выполнение которых необходимо организации для признания юридической силы электронных документов:

• методика работы с ними;

• разработка методики проведения экспертизы ценности электронных документов, обеспечение возможности перевода в электронный вид документов и одновременного уничтожения бумажных оригиналов, активное применение в практике организаций ведения определенных разделов номенклатуры дел в электронном виде: все это нужно, чтобы обеспечить долгосрочное архивное хранение подписанных электронных документов;

• активное развитие электронного нотариата; подтверждение достоверности ЭЦП ЭД по истечении срока действия сертификата ключа подписи;

• расширение домена доверия при взаимодействии с другими информационными системами (согласование политик, условий использования ЭЦП, форматов ЭД и пр.);

• обеспечение ЮЗ при участии в международных системах электронного взаимодействия.

- К сожалению, – констатирует Василий Овчинников, – на данный момент РФ существенно отстает в развитии электронного документооборота от США и стран Европы, а проблемы, встающие перед компаниями, которые решили перейти на электронный документооборот, пока в большинстве случаев существенно перевешивают выгоду от такого перехода. Преодолеть большинство этих проблем силами только компаний, заинтересованных в электронном документообороте, нельзя. Необходимо вмешательство государства, причем вмешательство грамотное, основанное на опыте тех стран, где над этими проблемами работают уже давно. К сожалению, пока такой тенденции не возникает.

"Проведенный экспертами нашей компании анализ процесса создания и внедрения СЭД в организациях позволил выявить основные проблемы, – говорит Владимир Горностаев, начальник отдела СЭД и защиты информации ЗАО "Компания "ИнтерТраст". – Недостаточно иметь отдельные компоненты, надо с самого начала создавать эти компоненты в рамках единой системы, видеть их во взаимосвязи. Основная проблема именно в этом. Для правильного решения задачи организации юридически значимого ЭДО необходимо привлечь не только технических специалистов, но и представителей бизнес-подразделений заказчика (владельцев бизнес-процессов, в том числе и специалистов служб ДОУ организации), юристов организации, отвечающих за правовые аспекты тех или иных бизнес-процессов, а также специалистов в области ИБ. Только их совместная работа в рамках проекта создания и внедрения (модернизации) СЭД позволит организовать юридически значимый электронный документооборот".

Через тернии к звездам

Несмотря на существующие проблемы, в реальной практике уже есть немало примеров взаимодействия различных бизнес-структур и госструктур на основе юридически значимого ЭДО: от систем "банк – клиент" и сдачи отчетности в электронном виде до торговых площадок и организации согласования, ознакомления и контроля исполнения приказов и распоряжений по холдингу. В процессе такого взаимодействия стороны получают увеличение прозрачности бизнес-процессов, их значительное ускорение, соблюдение регламентов, сокращение издержек на пересылку документов.

Самым удачным примером использования юридически значимого электронного документооборота (хотя не совсем корректно это называть документооборотом) Василий Овчинников считает торговые площадки: "Здесь использование цифровой подписи для подписания своих решений (которые, как следствие, с небольшой натяжкой можно назвать электронными документами), при правильной организации процесса подписания от получения сертификата до его непосредственного применения (как это сделано, к примеру, в АЭТП), значительно ускоряет сами торги и облегчает разрешение споров, возникающих в их процессе".

Помимо этого примера, существует и другой, гораздо более известный: подача организациями отчетности в налоговую инспекцию в электронной форме, что стало скорее правилом, чем исключением. Преимущества данного подхода очевидны: скорость отправки и получения информации намного выше, накладные же расходы как организаций, так и самих инспекций, напротив, существенно снижаются. Кроме того, заметно ускоряется обработка таких документов – а значит, и оперативность работы службы.

- На официальном портале Федеральной службы государственной регистрации, кадастра и картографии можно сделать запрос для получения выписок из государственного кадастра недвижимости, – приводит пример Борис Кудрявцев. – Результатом оказания услуги является электронная выписка с электронно-цифровой подписью должностного лица Росреестра. Лично убедился в этом. Но, к большому сожалению, нотариальная контора оказалась не готова принять документ в электронной форме. Жаль!

Признанный эксперт в области электронного документооборота Наталья Храмцовская в своей презентации на Documation 2008 упомянула о нескольких тысячах изученных ею дел, где фигурировали электронные документы. "Из свежих примеров, – отмечает Сергей Бушмелев, – можно предложить постановление ФАС Московского округа от 20.01.2010 №КГ-А40/14271-09, когда суд принял электронную переписку как доказательство, поскольку этот способ обмена документами был предусмотрен в договоре. Кроме того, подлинность электронной переписки была подтверждена актом экспертного исследования НИИ судебной экспертизы".