В цілому законодавства держав-членів ЄС, таких як Ірландія, Німеччина, Австрія, повторюють (деколи навіть структурно), за винятком деяких незначних змін в деталях, вимоги Директиви. У Німеччині і Австрії федеральними урядами прийняті відповідні ухвали про ЕЦП на виконання національних законодавчих актів. Національні законодавчі акти держав – членів ЄС по-різному регулюють процедуру ліцензування засвідчувальних центрів. Наприклад, Закон Ірландії «Про електронну комерцію» встановлює обов’язковість ліцензування діяльності засвідчувальних центрів. Таке ліцензування здійснюється міністром громадських підприємств (Minister for Public Enterprise). Закони Німеччини і Австрії «Про цифровий підпис» встановлюють добровільний порядок ліцензування засвідчвальних центрів. Істотною специфікою володіє також законодавство Великобританії. Закон «Про електронні комунікації» не передбачає діяльність центрів по посвідченню відкритих ключів ЕЦП, він лише говорить про посвідчення самого ЕЦП. Коротке нормативно-правове регулювання діяльності засвідчувальних центрів згідно цього закону зводиться до наступного:
а) передбачена сертифікація не відкритого ключа ЕЦП, а самого підпису;
б) особа може засвідчити підпис після того, як зробить заяву, що підпис, засоби його створення і перевірки, а також засоби і процеси зв’язку, що відносяться до ЕЦП, дійсно підтверджують незмінність даних і (або) умов зв’язку.
Таким чином, законодавство Великобританії дає можливість сторонам самим здійснювати посвідчення ЕЦП. Закон Індії «Про інформаційні технології» встановлює обов’язковість ліцензування діяльності засвідчувальних центрів одним уповноваженим державним органом – Керівником засвідчувальних центрів (Controller of Certifying Authorities). Ліцензія може бути видана засвідчувальному центру у разі задоволення вимог з кваліфікації і чисельності кадрів, фінансових ресурсів, інфраструктури. При здійсненні діяльності засвідчувальний центр зобов’язаний [16, с.25]:
а) використовувати програмне і апаратне забезпечення та процеси, захищені від неправомірного привласнення і зловживання;
б) забезпечити оптимальний ступінь надійності своїх послуг, достатній для їх надання;
в) дотримуватися захищених процесів для забезпечення конфіденційності ЕЦП, що завіряються;
г) дотримувати інші стандарти, встановлені іншими нормативно-правовими актами.
Закон Індії не встановлює вимог до змісту сертифікату. У США федеральне законодавство не регулює діяльність засвідчувальних центрів, але їх нормативно-правове регулювання здійснюється законодавством окремих штатів, хоча й не всіх. Зокрема, питання, пов’язані з інфраструктурою ЕЦП, регламентовані в таких штатах, як Айова, Міннесота, Міссурі, Род-айленд, Юта, Вермонт, Вашингтон. Законодавства зарубіжних держав не завжди встановлюють відповідальність за порушення режиму застосування ЕЦП. Норми про відповідальність можуть міститися в інших нормативно-правових актах, зокрема, кодифікованих (кримінальні, адміністративні кодекси і т.п.). Для держав - членів ЄС загальне регулювання відповідальності за порушення законодавства про ЕЦП здійснюється на основі Директиви.
Правове регулювання відповідальності за законом Індії «Про інформаційні технології» володіє значною специфікою. Зокрема, цей закон перераховує різні види злочинів в області застосування електронного цифрового підпису і встановлює різні види покарань. Тим самим він структурно нагадує кодифікований кримінальний акт. Суб’єктами перерахованих злочинів можуть бути як сторони по операції, що здійснюють застосування ЕЦП, так і засвідчувальний центр. Як приклад таких злочинів можна назвати: спотворення відомостей засвідчувальним центром для отримання ліцензії; порушення конфіденційності даних; обман при публікації сертифікату; публікація сертифікату з метою шахрайства. Як покарання передбачаються різні терміни позбавлення волі. Міжнародним регіональним законодавством ЄС і національними законодавствами держав-членів ЄС передбачається ряд випадків обмеження відповідальності засвідчувальних центрів. Зокрема, відповідно до Директиви, а також законодавств Ірландії, Німеччині, Австрії визначена можливість обмеження відповідальності. Таке обмеження може бути здійснене шляхом встановлення певного переліку операцій, при здійсненні яких можливе використання сертифікату, або на підставі вказівки суми операції, для якої застосовується сертифікат. При спричиненні стороні збитків у разі використання сертифікату в операції з сумою, яка перевищує вказану в сертифікаті, засвідчувальний центр відповідальності не несе. Федеральний закон Австрії також встановлює, що засвідчувальний центр не несе відповідальності перед іншими особами, якщо він доведе, що порушення обов’язків відбулося не з вини самого засвідчувального центру або його співробітників. Потерпілий, відповідно до закону, може посилатися на ту обставину, що обов’язки, встановлені законом, були порушені або мало місце недотримання вимог закону і прийнятих на його виконання інших нормативно-правових актів в області безпеки, а також якщо не були здійснені належні заходи. При цьому вказані обставини повинні привести до виникнення збитків у потерпілої сторони. Федеральний закон США «Про електронні підписи в глобальній і національній торгівлі», так само, як і Федеральний закон Німеччини, не містить яких-небудь положень про відповідальність, що випливає з правовідносин між партнерами по операції у зв’язку з неналежним застосуванням ЕЦП. Відповідальність, пов’язана із застосуванням ЕЦП, регулюється законодавством штатів. Зокрема, в Законі штату Юта (1996 р.) встановлюється відповідальність засвідчувального центру за невиконання або неналежне виконання зобов’язань. Відповідно до нього засвідчувальний центр несе відповідальність в межах, встановлених у сертифікаті відкритого ключа ЕЦП.
Згідно ст.46-3-308 Закону штату Юта засвідчувальний центр, за деякими виключеннями, не відповідає за [16, с.24]:
а) будь-який збиток, заподіяний фальшивим або сфальсифікованим підписом власника сертифікату відкритого ключа ЕЦП, якщо засвідчувальний центр діяв відповідно до вимог Закону;
б) спотворення в сертифікаті, помилку при його видачі при перевищенні меж відповідальності засвідчувального центру, вказаних в сертифікаті.
Із засвідчувального центру не можуть бути стягнуті штрафні санкції.
2.2 Становлення українського законодавства про цифровий підпис
У XXI ст. інформаційно-комунікаційні технології стануть провідним чинником, що істотно впливатиме на розвиток суспільства. Багато країн уже усвідомили ті переваги, які надає їхній розвиток та поширення. Нині в Україні є відчутною потреба унормувати нові відносини, що виникають у зв’язку з бурхливим розвитком комп’ютерних технологій.
Розвиток електронної комерції і електронного документообігу в Україні стикається з недостатністю правового регулювання застосування ЕЦП і електронного документообігу.
Правові основи для застосування електронних документів у цивільних відносинах уперше закладено новим Цивільним кодексом України, що набрав чинності з 1 січня 2004 р. згідно зі ст. 207 «Вимоги до письмової форми правочину»: «правочин вважається таким, що вчинений у письмовій формі, якщо воля сторін виражена за допомогою телетайпного, електронного або іншого технічного засобу зв’язку». Під час здійснення правочинів допускається застосування електронно-цифрового підпису. По суті, Цивільний кодекс України прирівнює електронні документи до паперових і допускає засвідчення їх електронним підписом [14, с.13].
На виконання рекомендацій Парламентських слухань з питань побудови інформаційного суспільства в Україні у державі створено нормативно-правове підґрунтя і технологічну основу функціонування юридично значимого електронного цифрового підпису. Законами України «Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки», «Про електронні документи та електронний документообіг» від 22 травня 2003 року № 851-IV, а також «Про електронний цифровий підпис» від 22 травня 2003 року № 852-ІV встановлено основні організаційно-правові засади електронного документообігу та використання електронних документів, а також правовий статус електронного цифрового підпису (ЕЦП) та порядок його застосування юридичними і фізичними особами, визначено організаційну інфраструктуру ЕЦП та її суб’єктів. Передбачається послідовна розробка нормативно-правових актів, сфера регулювання яких визначається вперше, визначено необхідність підтримки функціонування центрального засвідчувального органу, як основного елемента інфраструктури електронного цифрового підпису.
На виконання вищеназваних законів протягом 2004 року прийнято шість постанов Кабінету Міністрів України (від 26 травня 2004 р. № 680, від 13 липня 2004 р. № 903, від 28 жовтня 2004 р. №№ 1451 - 1454), які стосуються сфер електронного документообігу та електронного цифрового підпису.
Дорученням Кабінету Міністрів України від 23.02.2005 № 6056/2/1-05 передбачалось створення центрального засвідчувального органу та забезпечення умов для акредитації центрів сертифікації ключів інфраструктури електронного цифрового підпису.
Постановою Кабінету Міністрів України від 6 травня 2005 р. № 324 «Про заходи щодо виконання у 2005 році Програми діяльності Кабінету Міністрів України «Назустріч людям» підтверджено необхідність прийняття цільової програми впровадження й розвитку електронного документообігу з використанням електронного цифрового підпису.
В Указі Президента України «Про першочергові заходи щодо впровадження новітніх інформаційних технологій» від 20 жовтня 2005 р. № 1497 одним із пріоритетних напрямків сфери інформаційних технологій визначено впровадження в Україні електронного документообігу із застосуванням електронного цифрового підпису.
Проте, жодним із вищезазначених законів та нормативно-правових актів не було передбачено конкретних заходів щодо створення, впровадження й утримання інфраструктури електронного цифрового підпису та не визначені механізми фінансування цих заходів.