Анализ законов, мнений на форумах
Опишу здесь свое понимание ЭЦП ⌨ (Электронно Цифровой Подписи) и АСП ✍ (Аналога Собственноручной Подписи). Хочу сразу предупредить, что я не юрист, пишу этот материал для систематизации своих мыслей и консультации с юристами онлайн. По мере получения дополнительной информации буду вносить сюда соответствующие коррективы.
Мои цели ( эцп что это и эцп это ):
1)Договор о передаче исключительных прав на ПО либо лицензионный договор исключительной лицензии предоставляющий максимум прав на использование ПО.
2) Для передачи исключительного права нужна письменная форма сделки, а значит договор должен быть подписан обеими сторонами. Нужен удобный, надежный и малозатратный способ подписания договоров, передаваемых в электронном виде (например по e-mail). Такой способ должен работать в т.ч. с зарубежными контрагентами.
Почти все понимают, что подписывать документы с помощью ЭЦП или АСП (с использованием компьютера) и потом обмениваться ими по e-mail намного удобнее, чем обмениваться обычными бумажными документами с собственноручной подписью по почте (это менее расточительно по временным и часто денежным затратам). Одна из проблем кроется в юридической значимости документов (например договоров), подписанных с помощью ЭЦП и АСП.
Законы на основе которых будем делать свои суждения и предположения:
Часть I. Глава 28. Статья 434. Форма договора
1. Договор может быть заключен в любой форме, предусмотренной для совершения сделок, если законом для договоров данного вида не установлена определенная форма. Если стороны договорились заключить договор в определенной форме, он считается заключенным после придания ему условленной формы, хотя бы законом для договоров данного вида такая форма не требовалась.
ГК Статья 160. Письменная форма сделки
2. Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.
Как видим ЭЦП - это разновидность АСП.
Федеральный закон Российской Федерации от 10 января 2002 г. N 1-ФЗ ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ
http://www.rg.ru/oficial/doc/federal_zak/1-fz.shtm
По мнению некоторых представителей форумов (напрмер bankir.ru) кроме ЭЦП, которая определена в N 1-ФЗ можно использовать электронную АСП собственного "приготовления" в отрыве от требований закона N 1-ФЗ. Далее по тексту такая электронная АСП, не соотвествующая требованиям закона об ЭЦП, будет называться АСП. Так же, на возможность применения АСП указывает и практика. По терминологии, которую встречаю в договорах для клиентов - физ. лиц, следующие организации используют АСП и по сей день (2008 год - 6 лет с момента принятия закона об ЭЦП): Банк Уралсиб, Альфабанк, платежные системы E-port и Yandex-деньги и многие другие.
Давайте рассмотрим основные отличия ЭЦП и АСП (в том виде в котором ее обычно используют организации):
ЭЦП ( цифровая подпись, подпись цифровая, электронная цифровая подпись цифровая подпись )
Нужен удостоверяющий центр (УЦ), личность владельца ключа должна быть верифицирована представителем УЦ. На основе верификации открытый ключ владельца подписывается ключем УЦ, такая подпись называется сертификатом, в сертификате также может быть указана информация о максимальной материальной ответственности по сделкам, которые могут быть подписаны этим ключом. По сути такой сертифицированный ключ является подобием гражданского паспорта владельца (для физ. лиц). Применять можно только ПО, сертифицированное ФСБ. Для подписания договоров с гос. организациями России можно применять только ЭЦП (из всех вариантов АСП). В качестве УЦ может выступать как организация, не связанная с контрагентами, так и юр. лицо - один из участников договора (достаточно дорого и проблематично). К недостаткам ЭЦП можно отнесьти сравнительно высокую стоимость сертифицированного ПО, его закрытость, часто отсутствие многоплатформенности, проблемы с экспортом такого ПО, чтобы заключать международные договора, для установки даже одного экземпляра такого ПО уже нужна лицензия ФСБ (это наверно затратно и неудобно), а за у зарубежного котрагента еще и разрешение на вывоз. Предварительная договоренность сторон об использовании ЭЦП в простой письменной форме все равно нужна (как и для АСП).
АСП ( Аналог Собственноручной Подписи )
Можно применять ПО, не сертифицированное в ФСБ, поэтому ПО более доступно, часто бесплатно, снимаются ограничения на заключение договоров с иностранными контрагентами. Конечно не стоит применять какое попало ПО, нужно надежное ПО.
Думаю софт крупных банковских и платежных систем сомнений не вызывает. GPG (бесплатный PGP) тоже очень хорошо зарекомендовал себя. Насколько я знаю PGP используется в Европе даже для подписания договоров с гос. организациями. Использование АСП регулируется предварительным соглашением сторон - договором на бумаге (желательно заверенным нотариусом, если у вас нетиповые уникальные договора с другим малоизвестным контрагентом, а не с популярной надежной организацией, типа крупного банка, однотипно работающего с множеством "маленьких" физ. лиц) вместо закона об ЭЦП.
АСП обычно используют без сертификатов УЦ (как раз одна из причин, почему многие предпочитают АСП вместо ЭЦП), верификация личности владельца ключа происходит в процессе заключения предварительного соглашения об использовании АСП, там же указываются открытые ключи. К недостаткам АСП, особенно после появления закона об ЭЦП, можно отнесьти ее зыбкое отличие от ЭЦП (по сути только названием и несоответсвием требованиям закона об ЭЦП), и в результате заинтересованные лица могут пытаться трактовать закон по своему и обратить ситуацию в свою пользу, указывая на то, что ваша АСП является неполноценной ЭЦП, потому что практически любое ПО для АСП подходит под определение ПО для ЭЦП (как оно описано в законе об ЭЦП). И на основе ее неполноценности уже назвав вашу АСП термином ЭЦП будут пытаться обратить ситуацию в невыгодное для вас русло. Например, ЭЦП можно проверять только ПО сертифицированным ФСБ, таким образом они могут заявить, что вашу ЭЦП нельзя проверить с точки зрения закона об ЭЦП. В таком случае нужно настаивать на том, что ваша АСП регулируется ГК с. 160 и не имеет никакого отношения к ЭЦП, которая описана в законе ФЗ1. Существует предположение, что могут возникнуть проблемы признания юридической значимости договоров, подписанных АСП, в суде. Например часто приводимый пример для устрашения банков: клиент делает заявление на крупный платеж, подписанное АСП, через ДБО, банк его выполняет, клиент потом заявляет, что он не просил осуществить никакого платежа. В суде клиент может сослаться на закон об ЭЦП, несертифицированное в ФСБ ПО банка для проверки подписи и отказаться от своей АСП. В результате, предположительно, суд может принять сторону клиента и банку придется компенсировать клиенту сумму, на практике уже потраченную таким клиентом. Есть мнение, что разбор полетов может регулироваться процедурой проверки и признания подлинности АСП, если она подробно описана в соглашении сторон, наверно поэтому договора об использовании АСП в ДБО часто содержат по 25 и более страниц текста (по сути "свой вариант закона" о "своем варианте ЭЦП", которую они называют АСП). Например с неэлектронной АСП были прецеденты, когда налоговые и другие органы отказывались признавать юридическую значимость документов (например накладные даже без участия гос. организаций типа юр. лицо - юр. лицу) с факсимильной подписью (обмен подписанными от руки документов по факсу), в результате нельзя было получить вычет по НДС.
Есть мнения (выдержки из сообщений авторов форумов), хотелось бы узнать насколько они соответствуют действительности:
1) Теперь по сути среди множества АСП выделили один, назвали его ЭЦП и объяснили, когда он равнозначен собственноручной подписи без предварительного заключения договора. Отсюда не следует, что иные технологии регулируются также, более того, поскольку ГК - это закон конституционный, постолько закон об ЭЦП не может его отменять, а лишь дополнить, не меняя сути. Так Вот Закон "Об ЭЦП" дополнил ГК тем, что разъяснил как использовать конкретный АСП, без предварительного договора.
2) Статья же 160 ГК, определяет условия в которых любой аналог собственноручной подписи признается юридически значимым. об ЭЦП детализировал статью ГК только в отношении ОДНОГО АНАЛОГА, регулирование иных АСП остается прежним на основе договорного права.
3) Федеральный Закон об ЭЦП не может устанавливать "рамки" для конституционного закона - ГК. Он может его только дополнить, что и сделано в отношении одного АСП.
4) Что если придерживаться абсолютно всех требований закона об ЭЦП, то даже большинство сертифицированных СКЗИ не даст возможности доказать подлинность подписи.
Причина - необходимость доказуемости времени подписания. СКЗИ некоторых УЦ решают данную проблему проводя транзакцию на своем сервере в момент подписания.
5) Несертифицированные криптографические средства не считаются средствами защиты информации.
Не считается кем и на каком основании?
Так не считает ФСБ, ФСТЭК, Россвязьохранкультура. На основании действующего законодательства.
6) Любая подпись выполняет, по крайней мере, три функции: первая – это удостоверение того, что подписавшийся является тем, за которого мы его принимаем; вторая – это то, что подписавшийся не может отказаться от документа, который он подписал; и третья – подтверждение того, что отправитель подписал именно тот документ, который отправил, а не какой-либо иной
7) Закон "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 года устанавливает, что электронное сообщение, подписанное ЭЦП, равнозначно документу, подписанному собственноручно. Обмен при заключении гражданско-правовых договоров электронными сообщениями, каждое из которых подписано ЭЦП, рассматривается как обмен документами.
8) Отменили необходимость лицензирования деятельности УЦ.
9) Например, около года назад в ВТБ24 просто давали логин/пароль для доступу к сервису онлайн-банкинга (Visa Electron). В Урсабанк пароль и сертификат, но насколько я его видел, он нисколько не отвечает требованиям к ЭЦП. Я думаю, аналогично и в других банках.
10) Надо разграничить понятия. ЭЦП, это то что отвечает техническим и юридическим требованиям, все остальное иные аналоги собственноручной подписи.
Вы приводите пример, что использование не ЭЦП для подтверждение платежного поручения клиент-банк неправомерно. Вы не правы, посмотрите п.2 ст.160 ГК РФ. Тривиальный пример, онлайн-банкинг: а) банк за вас ЭЦП получить не может, вы доверенность не даете; б) у банка есть право использовать иные аналоги собственноручной подписи по соглашению с клиентом; в) банку дешевле и удобнее использовать свою систему подтверждения, без сертификации себя в качестве УЦ; г) у банка нет цели выдать вам универсальный инструмент, ему нужно только подтверждение для себя, что Вы это Вы.
11) ЭЦП не так востребован в настоящее время, потому что есть его аналоги. Например, в банках уже давно в документообороте применяют аналоги ЭЦП. Их нельзя назвать ЭЦП с юридической точки зрения, но с технической как я понимаю они практически идентичны. В интернет магазинах и других аналогичных системах, либо конклюдентные действия, либо аналоги собственноручной подписи.
12)Следующее применимо только к банкам:
(Гражданский кодекс Российской Федерации. Часть первая: От 30.11.1994 № 51-ФЗ.-В ред. от 06.12.2007.-Ст. 160)
АСП удостоверяет факт составления и подписания платежного документа от имени кредитной организации или клиента кредитной организации.
Для создания и проверки АСП могут использоваться программно-технические и иные средства в порядке, устанавливаемом договором между участниками документооборота или с администрацией документооборота.
Платежные документы, подписанные АСП, признаются имеющими равную юридическую силу с другими формами поручений владельцев счетов, подписанными ими собственноручно.
АСП должен удостоверять подлинность платежного документа, включая все его обязательные реквизиты.
Платежный документ, подписанный АСП, передается получателю способом, предусмотренным договором между участниками документооборота и обеспечивающим сохранение всех обязательных реквизитов платежного документа.
Платежный документ, подписанный АСП, должен воспроизводиться на бумажном носителе с сохранением всех реквизитов платежного документа.
(Временное положение о порядке приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи, при проведении безналичных расчетов кредитными организациями: Утв. Центр. банком РФ 10.02.1998 № 17-П.-ПП. 2.1-2.3, 2.7-2.9)
13) Однако, согласно Федеральному Закону "О лицензировании отдельных видов деятельности" (Собрание законодательства РФ, 28.09.98, № 39, ст. 4857), деятельность по эксплуатации шифровальных средств к лицензируемым видам деятельности не отнесена. Это позволяет сделать вывод о том, что использование подобных PGP программ в коммерческой деятельности вполне допустимо. Как минимум, можно использовать возможности программы в части верификации документов, не используя её возможностей по шифрованию информации.
Идеи:
1) Статья 18 закона об ЭЦП. Признание иностранного сертификата ключа подписи
-----------------
Иностранный сертификат ключа подписи, удостоверенный в соответствии с законодательством иностранного государства, в котором этот сертификат ключа подписи зарегистрирован, признается на территории Российской Федерации в случае выполнения установленных законодательством Российской Федерации процедур признания юридического значения иностранных документов.
-----------------
Сертификат ключей все же может быть очень полезен для повышения доверия вам географически удаленных контрагентов. Для получения сертификата ключей рассмотреть возможность использования ПО для работы с сертификатами X.509, международные УЦ, выдающие такие сертификаты, возможность использования сертификата X.509 для подписания своих ключей PGP, тем самым создавая для них большее доверие и предположительно юридическую значимость на территории каких-нибудь государств.
2) Альтернативный вариант (требует долгого изучения иностранных законов): написать, что договор заключен на территории и по законам страны контрагента.
Возможные варианты лицензионного договора на ПО и его подписания ( электронная подпись это, электронная цифровая подпись это ):
1) Лицензионный договор исключительной лицензии. Может быть присоедененным в электронной форме без подписи. Нет требования о письменной форме договора.
Это мало надежно с точки зрения отсутствия подписей при крупных суммах договоров.
2) Передача исключительного права на "модифицированное произведение" (с предварительным получением права на модификацию).
Нужен договор в письменном виде с собственноручной подписью (СП), ЭЦП или АСП.
2.1) Использовать предварительный бумажный договор об АСП - PGP, желательно заверить его у нотариуса.
Подписывать последующие договора с помощью АСП. Закон 160. без привязки к закону об ЭЦП.
2.2) Письменной формой признаются документы переданные в т.ч. электронным способом (e-mail к ним относится?).
Т.е. можно использовать графические сканы документов с СП без ЭЦП?.
2.3) Обмен бумажными договорами с СП по обычной почте. Недостаток: малая защищенность СП от подделки.
Предположительно нужно добавить следующие пункты в договор об использовании PGP (GPG) в качестве АСП:
1) Для проверки подлинности АСП нужно использовать последовательность действий для проверки подписи, описанную в инструкции пользователя PGP. Каким-то образом нужно четко идентифицировать о какой инструкции пользователя идет речь, либо включить выдержку из инструкции в текст договора.
2) Ограничение материальной и другой ответственности по договору в некоторых пределах.
3) Ограничение области применения: Сведения об отношениях, при осуществлении которых электронный документ с АСП будет иметь юридическое значение.
Разрешено использовать только для подписи договоров по передаче интеллекутальных прав, договоров подрядов, трудовых и договоров о лицензировании программного обеспечения.
4) Строить защитные пункты договора на основе банковских договоров об АСП. Нужно назначить процедуру согласования разногласий.
С учетом этой процедуры арбитражный суд проверяет достоверность представленных сторонами доказательств. При необходимости арбитражный суд вправе назначить экспертизу по спорному вопросу, используя при этом предусмотренную договором процедуру. В случае отсутствия в таком договоре процедуры согласования разногласий и порядка доказательства подлинности договора и других документов, а одна из сторон оспаривает наличие подписанного договора и других документов, арбитражный суд вправе не принимать в качестве доказательств документы, подписанные цифровой (электронной) подписью.
5) Определить полезен или вреден пункт, о сохранении значимости остальных пунктов договора, если некоторые пункты будут признаны не соотвествующими закону. Законен ли вообще такой пункт договора с точки зрения законов РФ?
6) Пункт договора об отмене старого договора об использовании АСП.
7) содержать следующие сведения:
Номер договора, даты начала и окончания срока действия сертификата ключа подписи;
Подробная идентификация сторон договора
Наименование средств электронной цифровой подписи, с которыми используется данный открытый ключ электронной цифровой подписи;
8) Должен вступать в силу до подписания последующих документов.
9) Переписать пункт 3 в старом соглашении.
Соответствие собственноручной подписи и АСП а не public key. В принципе соответсвие не мешает, но недостаточно.
Вопросы:
1) Каким образом отменять старые договора, например старый договор об использовании PGP? Как их идентифицировать?
2) Что такое - процедура признания юридического значения иностранного документа?
3) Можно ли пользоваться АСП, до подписания договора об АСП, при условии, что в нем будет указан дата вступления его в силу более ранняя, чем даты подписываемых с помощью АСП документов?