Смекни!
smekni.com

Правові основи використання електронного цифрового підпису в цивільному обігу (стр. 3 из 9)

Вперше про електронний цифровий підпис заговорили ще в 60-70-х роках, хоча ні об’єктивних передумов і технічних умов, ні організаційних структур для повноцінного посвідчення особи автора електронного документа у той час ще не існувало. Під «електронним підписом» розуміли якусь послідовність символів, отриманих в результаті одностороннього перетворення документа (повідомлення) по відомому алгоритму.

Зарубіжні країни по-різному визначають ЕЦП, хоча основні, базові риси і властивості ЕЦП указуються в кожному законі. Держави – члени Європейського Союзу в своїх законодавчих актах наслідують прийняту в Європейському Союзі Директиву Європейського Парламенту і Ради

№ 1999/93/EС «Про загальні рамкові умови для електронних підписів». Відповідно до неї ЕЦП – це «дані в електронній формі, які прикладені до інших електронних даних або логічно з ними пов’язані і призначені для аутентифікації». Федеральний закон Німеччини «Про цифровий підпис» 1997 р., наслідуючи положення Директиви, практично повторює це визначення. Закон Ірландії «Про електронну комерцію» також практично повторює це визначення, додаючи лише, що дані в електронній формі (ЕЦП), включають розширені ЕЦП [16, с.23].

Федеральний закон Австрії «Про цифровий підпис» (Singaturgesetz) 2000 року визначає ЕЦП як «електронні дані, які додаються до інших електронних даних або пов’язані з ними іншим логічним способом і служать для аутентифікації змісту документа та ідентифікації особи, що підписала документ». У даному визначенні також зазначається, що ЕЦП служить не тільки для аутентифікації змісту електронного документа, але і для ідентифікації особи, що підписала документ.

Закон Великобританії «Про електронні комунікації» 2001 року дає наступне визначення ЕЦП: «Суть, що має електронну форму, включена в склад або іншим чином пов’язана з електронними даними і призначена для їх аутентифікації».

Федеральний закон США «Про електронні підписи в глобальній і національній торгівлі» 2000 р. визначає ЕЦП як «електронний звук, символ або процес, прикріплений або логічно пов’язаний з контрактом або іншим документом і здійснений або вибраний особою з наміром підписати документ». «Аутентифікація електронного документа за допомогою електронних методів або процесів відповідно до норми закону» - таке визначення міститься в Законі Індії «Про інформаційні технології».

Крім цього вказані нормативно-правові акти вводять додаткові визначення, наприклад, кваліфікований електронний підпис. Такі поняття вводяться в законодавчі акти для досягнення оптимального нормативно-правового регулювання. Під кваліфікованим ЕЦП розуміється звичайний ЕЦП, що задовольняє вимогам відповідного закону та інших нормативно-правових актів. Зокрема, в Директиві встановлено, що «держави - члени Європейського Союзу повинні піклуватися про те, щоб розширений підпис був створений захищеною системою засобів ЕЦП».

Якісні характеристики засобів ЕЦП і даних, які використовуються при його створенні, встановлюються національним законодавством держав - членів Європейського Союзу. Зокрема, такі вимоги встановлені законодавствами Ірландії, Німеччині і Австрії. У загальних рисах ці вимоги зводяться до необхідності захисту ключів, вживаних при створенні ЕЦП, від неправомірного їх використання третіми особами, які не володіють законними правами на них, а також від підробки. Що ж до засобів ЕЦП, то вони не повинні в процесі створення підпису змінювати зміст електронного документа або перешкоджати доступу власника підпису до даних, що містяться в електронному документі. Крім того, засоби ЕЦП повинні бути захищені від несанкціонованого доступу до них з боку третіх осіб.

Особливої уваги заслуговує питання доступності засобів шифрування і, зокрема, засобів ЕЦП. Зокрема, певним лібералізмом відрізняється регламентація порядку використання засобів ЕЦП в Німеччині. Відповідно до Принципів німецької політики в області шифрування, розроблених Федеральним Урядом, від 2 червня 1999 року, «Федеральний Уряд не має наміру забороняти вільну доступність засобів шифрування в Германії».

У Великобританії Законом «Про електронні комунікації» передбачено ліцензування діяльності, пов’язаної з шифруванням. Таке ліцензування здійснюється Державним секретарем (the Secretary of State), що створює і веде спеціальний реєстр, в якому міститься інформація про органи, що надають послуги в області шифрування інформації. Для отримання ліцензії необхідна відповідність ряду вимог технічного характеру, що встановлюються Державним секретарем. Вони стосуються якісних характеристик засобів ЕЦП. В цілому у Великобританії встановлені жорсткіші вимоги до засобів ЕЦП, ніж у Німеччині.

Законодавства зарубіжних держав регламентують діяльність системи засвідчувальних центрів. Зокрема, в Європейському Союзі Директивою засвідчувальний центр визначається як «орган або юридична або фізична особа, яка видає сертифікат або надає інші послуги, пов’язані з електронним цифровим підписом». Під сертифікатом розуміється «електронне посвідчення, за допомогою якого відбувається ідентифікація засобів перевірки підпису особи і підтвердження її особи». Крім того, Директива використовує поняття кваліфікованого сертифікату, тобто виданого відповідно до вимог закону та інших нормативно-правових актів.

Директива також встановлює вимоги до змісту сертифікату. Відповідно до Додатку № 1 до Директиви кваліфікований сертифікат повинен містити:

а) повідомлення, що даний сертифікат є кваліфікованим;

б) повідомлення засвідчувального центру і держави, що даний сертифікат діє;

в) ім’я особи, що звернулася за отриманням сертифікату відкритого ключа ЕЦП, або його псевдонім, який служить з метою ідентифікації особи;

г) місце для вказівки специфічних рис особи, яка звернулася для видачі сертифікату відкритого ключа ЕЦП, що використовується у разі потреби з метою визначення особи;

д) інформацію про засоби перевірки підписів, які відповідають засобам ЕЦП, що знаходяться під контролем особи, охочої отримати сертифікат відкритого ключа ЕЦП;

е) повідомлення про початок і кінець терміну дії сертифікату відкритого ключа ЕЦП;

ж) унікальний номер сертифікату;

з) розширену ЕЦП засвідчувального центру;

и) у разі потреби – обмеження території дії сертифікату;

к) у разі потреби – обмеження ціни операції, для якої може застосовуватися сертифікат.

Директива встановлює також ряд вимог до діяльності засвідчувальних центрів. Зокрема, даний центр винен:

а) довести наявність необхідної надійності для надання послуг з сертифікації;

б) забезпечити швидке і безпечне надання послуг з реєстрації, а також безпечне і негайне відкликання сертифікату відкритого ключа ЕЦП;

в) забезпечити точне визначення дати і часу видачі або відкликання сертифікату відкритого ключа ЕЦП;

г) перевірити відповідними засобами відповідно до права окремих держав особу і, у разі потреби, специфічні риси особи, яка звернулася за отриманням сертифікату відкритого ключа ЕЦП;

д) надати роботу персоналу, що володіє спеціальними знаннями, досвідом і кваліфікацією, особливо знаннями в області управління, технології і застосування ЕЦП, а також ґрунтовними знаннями в області процедур забезпечення достатньої безпеки;

е) дотримуватися в подальшому необхідних процедур управління та інших норм;

ж) застосовувати системи, що користуються довірою, і продукти, захищені від внесення змін, що забезпечують технічний і криптографічний захист відповідних процедур;

з) прийняти заходи проти фальсифікації сертифікатів, а у випадках, коли виробляються засоби і елементи ЕЦП, забезпечити конфіденційність даних при їх виробництві;

и) володіти достатньою кількістю фінансових коштів для роботи відповідно до вимог Директиви; мати змогу нести ризик відповідальності за збитки, наприклад в результаті укладення відповідних договорів страхування;

к) вказати всю відповідну інформацію про кваліфікований сертифікат і про термін його дії, для того, щоб, особливо в судовому процесі, можна було довести сертифікацію;

л) не дозволяти зберігання і копіювання засобів та елементів ЕЦП особам, які надають послуги з управління ключами ЕЦП;

м) інформувати власників сертифікатів про умови застосування сертифікату відкритого ключа ЕЦП, про існування вільної системи ліцензування засвідчувальних центрів, про процедури оскарження та погодження.