PKI - FORUM UKRAINE 2013 Отдельные вопросы юридической ответственности субъектов, которые предоставляют услуги электронной подписи, используя возможности PKI, согласно международных актов Порот Марина АО “Институт развития передовых технологий” 10.04.2013 Типовые законы ЮНСИТРАЛ 1) Типовой закон ЮНСИТРАЛ об электронной торговле (ТЗЭТ) от 12 июня 1996 года. Цель регулирования: облегчить ведение торговли с использованием электронных средств путем предоставления в распоряжение национальных законодателей свода признанных на международном уровне норм, направленных на устранение правовых препятствий для электронной торговли и повышение ее юридической предсказуемости. 2) Конвенция об использовании электронных сообщений в международных договорах от 23 ноября 2005 года (внесла изменения в ТЗЭТ с учетом современной практики электронной торговли). Цель регулирования: создание правовой основы для использования электронных сообщений в международной торговле путем обеспечения признания и исполнению контрактов, заключенных с использованием электронных средств (сообщений, обмен которыми осуществляется с использованием электронных средств) в той же мере, как и и контрактов, заключенных в традиционной (бумажной) форме. 2 Типовые законы ЮНСИТРАЛ 3) Типовой закон ЮНСИТРАЛ об электронных подписях от 5 июля 2001 года. Цель регулирования: сделать возможным и облегчить использование электронных подписей путем установления критериев технической надежности, определяющих эквивалентность электронных и собственноручных подписей. Закон разработан с целью предоставить помочь государствам в создании современной, согласованной и взвешенной законодательной базы для эффективного решения вопроса о правовом режиме электронных подписей и придания определенности их статусу. 3 Ответственность согласно Типового закона ЮНСИТРАЛ об электронных подписях Типовой закон ЮНСИТРАЛ об электронных подписях от 5 июля 2001 года (Типовой закон ЮНСИТРАЛ) предлагает установить ответственность: 1) подписавшего лица (статья 8); 2) поставщика сертификационных услуг (статья 9); 3) полагающейся стороны (статья 11). Установлены критерии для оценки поведения упомянутых сторон. 4 Ответственность согласно Типового закона ЮНСИТРАЛ об электронных подписях Ответственность подписавшего лица (статья 8): a) не проявление разумной осмотрительности для недопущения несанкционированного использования его данных для создания подписи; б) без неоправданных задержек использование средств, предоставленных в его распоряжение поставщиком сертификационных услуг или иным образом предпринятие разумных усилий для уведомления любого лица, которое, как подписавший может разумно предполагать, полагается на электронную подпись или предоставляет услуги в связи с ней, если: • подписавшему известно, что данные для создания подписи были скомпрометированы; или • обстоятельства, известные подписавшему, обусловливают существенный риск того, что данные для создания подписи могли быть скомпрометированы; в) использование сертификата для подтверждения электронной подписи при проявлении разумной осмотрительности для обеспечения точности и полноты всех исходящих от подписавшего существенных заверений, которые относятся к сертификату в течение всего его жизненного цикла или которые должны быть включены в сертификат. 5 Ответственность согласно Типового закона ЮНСИТРАЛ об электронных подписях Ответственность поставщика сертификационных услуг (статья 9): a) действия в соответствии с заверениями, которые он дает в отношении принципов и практики своей деятельности; б) проявление разумной осмотрительности для обеспечения точности и полноты всех исходящих от него существенных заверений, которые относятся к сертификату в течение всего его жизненного цикла или которые включены в сертификат; в) обеспечение разумно доступных средств, которые позволяют полагающейся стороне установить по сертификату: • личность поставщика сертификационных услуг; • что подписавший, который идентифицирован в сертификате, имел контроль над данными для создания подписи в момент выдачи сертификата; • что данные для создания подписи были действительными в момент или до момента выдачи сертификата; г) обеспечение разумно доступных средств, которые позволяют полагающейся стороне установить, соответственно, по сертификату или иным образом: • метод, использованный для идентификации подписавшего; • любые ограничения в отношении целей или стоимостного объема, в связи с которыми могут использоваться данные для создания подписи или сертификат; • что данные для создания подписи являются действительными и не были скомпрометированы; • любые ограничения в отношении масштаба или объема ответственности, оговоренные поставщиком сертификационных услуг; 6 Ответственность согласно Типового закона ЮНСИТРАЛ об электронных подписях Ответственность (продолжение): поставщика сертификационных услуг (статья 9) • существуют ли средства для направления подписавшим уведомления в соответствии с пунктом 1 «б» статьи 8 Закона (возможность компрометации); • предлагается ли услуга по своевременному аннулированию; д) в тех случаях, когда предлагаются услуги (установление метода для идентификации подписавшего, любых ограничений на сертификат, установление компрометации данных для создания подписи, ограничений по ответственности), обеспечение подписавшего средствами для направления уведомления в соответствии с пунктом 1 «б» статьи 8 Закона, в тех случаях, когда предлагаются услуги касательно своевременного аннулирования, обеспечение наличия услуг по своевременному аннулированию; е) использование надежных систем, процедур предоставлении своих услуг. 7 и людских ресурсов при Ответственность согласно Типового закона ЮНСИТРАЛ об электронных подписях Ответственность полагающейся стороны (статья 11): a) непринятия ею разумных мер для проверки надежности электронной подписи; или б) когда электронная подпись подкрепляется сертификатом, непринятия ею разумных мер: • для проверки действительности, приостановления действия или аннулирования сертификата; и • для соблюдения любых ограничений в отношении сертификата. 8 Директива 1999/93/ЕС Директива 1999/93/ЕС Европейского Парламента и Совета от 13 декабря 1999 года «О порядке использования электронных подписей в рамках Сообщества» (Директива 1999/93/ЕС). Цель Директивы – создать основу для применения электронных подписей для обеспечения беспрепятственного оборота товаров и услуг независимо от национальных границ и юридического признания электронной подписи на территории ЕС. 9 Ответственность согласно Директивы 1999/93/ЕС Базовые требования касательно ответственности - статья 6 Директивы. Государства-члены обеспечивают, чтобы поставщик услуг по сертификации, выдавая сертификат общественности в качестве действующего сертификата или гарантируя такой сертификат, несет ответственность за ущерб, причиненный любому юридическому или физическому лицу, которые мотивировано полагались на сертификат: a) в отношении точности всей информации на момент выдачи, которая содержится в действующем сертификате и касательно того факта, что сертификат содержит все детали, необходимые для действующего сертификата; б) для уверенности в том, что на момент выдачи сертификата лицо подписавшегося, идентифицированное в действующем сертификате, владело данными для создания подписи, которые соотносятся с существующими или такими, которые идентифицируются в сертификате, данным для проверки подписи; 10 Ответственность согласно Директивы 1999/93/ЕС Ответственность поставщиков услуг (статья 6 продолжение): в) для уверенности в том, что данные, которые создают подпись и данные для проверки подписи могут быть использованы как взаимодополняющие в случаях, если поставщик услуг по сертификации разработал их оба; если поставщик услуг по сертификации не докажет, что он действовал осторожно. Государства-члены обеспечивают: 1) поставщик услуг по сертификации несет ответственность за вред, причиненный любому юридическому или физическому лицу, которое мотивировано полагалось на сертификат, который возник вследствие невозможности зарегистрировать аннулирования сертификата, если поставщик услуг по сертификации не докажет, что он действовал осторожно; 2) возможность для поставщика услуг указывать в действующем сертификате ограничения на использование этого сертификата, обусловливая признание этих ограничений третьими сторонами; 3) поставщик услуг по сертификации не несет ответственности за ущерб, возникающий вследствие использования действующего сертификата, который превышает ограничения, предусмотренные в сертификате; 11 Ответственность согласно Директивы 1999/93/ЕС Ответственность поставщиков услуг (статья 6 продолжение): 4) поставщик услуг может указывать в действующем сертификате на ограничение стоимости операций, для которых может использоваться сертификат, при условии, что такое ограничение признается третьими сторонами; 5) поставщик услуг по сертификации не несет ответственности, возникающей вследствие превышения этого максимального ограничения. 12 Проект Регламента по электронной идентификации и доверенным услугам для электронных трансакций на едином рынке Проект Положения (Регламента) по электронной идентификации и доверенным услугам для электронных трансакций на едином (внутреннем) рынке (принят 4 июля 2012 года). Основная цель: 1) заменить Директиву ЕС 1999/93/ЕС, что приведет к переломному моменту в развитии услуг, предоставляемых в е-виде (развитие новых технологий, поддержание технологического нейтралитета); 2) улучшение действующего законодательства и расширения его сферы регулирования через взаимное признание, принятие на уровне ЕС, заявленных есхем идентификации и других е-услуг; 3) единая правовая основа для существования безопасной, надежной и легкой в доступе системы для использования е-операций, которая бы включала еидентификацию, аутентификацию и ЭП; содействует функционированию внутреннего рынка. Планируемый результат: во всех странах ЕС станет обязательным наличие единых правовых рамок для рынка е-услуг и по сути это приведет к отмене государственных законов об ЭП, а также необходимости изменения ряда других правовых положений, относящихся к этому рынку в странах-членах ЕС. 13 Ответственность согласно проекта Регламента Принципы ответственности неквалифицированных и квалифицированных поставщиков услуг (статья 9 проекта Регламента): 1) расширяет права на возмещение ущерба, причиненного любому лицу из-за небрежности поставщика услуг, несоответствия политики безопасности надлежащей практике, что привело к существенному нарушению политики безопасности (основана на статье 6 Директивы 1999/93/ЕС ); 2) за любой прямой ущерб, причиненный любому физическому или юридическому лицу в связи с несоблюдением обязательств, изложенных в статье 15 (1), если поставщик услуг не докажет, что он не действовал небрежно; 3) квалифицированный поставщик услуг несет ответственность за любой прямой ущерб, причиненный любому физическому или юридическому лицу в связи с невыполнением требований, в частности статьи 19, если только квалифицированный поставщик не докажет, что он не действовал небрежно (требования касательно квалификации персонала, страхового фонда и тд.). 14 Иные способы регулирования согласно проекта Регламента Обязанность для квалифицированных и неквалифицированных поставщиков услуг осуществлять соответствующие технические и организационные меры для обеспечения безопасности их деятельности (статья 15 проекта Регламента). Компетентные контролирующие органы и другие соответствующие органы должны быть проинформированы о любых нарушениях безопасности. При необходимости, они будут информировать контролирующие органы других государств-членов и непосредственно либо через поставщика услуг информировать общественность. Условия для наблюдения за деятельностью квалифицированных поставщиков услуг (статья 16 проекта Регламента ) - квалифицированные поставщики услуг обязаны проводить аудит независимой аудиторской компанией на ежегодной основе с целью быть признанным контролирующим органом. Контролирующий орган имеет право: 1) проводить аудит квалифицированных поставщиков услуг в любое время; 2) издавать обязательные к исполнению для квалифицированных поставщиков услуг инструкции в случае невыполнения любого обязательства, которые были выявлены во время аудита безопасности. 15 Модельный закон СНГ Модельный закон СНГ «Об электронной цифровой подписи». Принят на шестнадцатом пленарном заседании Межпарламентской Ассамблеи государств - участников СНГ 9 декабря 2000 года. Цель Закона: обеспечить правовые условия для использования электронных цифровых подписей для стран СНГ. Модельный закон СНГ - основа свода Унифицированных правил и процедур, при помощи которых страны СНГ могут разрешать в национальных законодательствах проблемы, связанные с правовым режимом электронной цифровой подписи. Типовые (модельные) законы Межпарламентской Ассамблеи СНГ адаптированные к условиям Содружества международные, прежде всего европейские правовые стандарты. Принятие парламентами стран СНГ национальных законов на основе модельных актов МПА СНГ не только обеспечивает гармонизацию и сближение законодательств стран Содружества, но и содействует приведению этих национальных законодательств в соответствие с европейским правом. 16 Ответственность согласно Модельному закону СНГ «Об электронной цифровой подписи» Ответственность центров регистрации (статья 16 Закона). Центр несет ответственность за убытки в объеме реального ущерба, понесенного лицом в результате доверия к представленным в сертификате данным, которые Центр обязан проверить и подтвердить. Ответственность Центра не включает: - штрафные санкции, возмещение упущенной выгоды, возмещение морального вреда. Если иное не предусмотрено законом или договором, Центр несет ответственность, если не докажет, что надлежащее исполнение его обязанностей оказалось невозможным вследствие непреодолимой силы, то есть чрезвычайных и непредотвратимых при данных условиях обстоятельств. Центр не несет ответственности: - за ущерб, понесенный в результате доверия к недействительной или подделанной цифровой подписи владельца, если Центр выполнил все существенно важные требования настоящего закона в отношении свидетельства цифровой подписи; - за ущерб, свыше суммы, указанной в свидетельстве в качестве установленного предела (ограничения) доверия, понесенный в результате доверия к представленным в сертификате данным, которые Центр обязан проверить и подтвердить. 17 Ответственность согласно Модельному закону СНГ «Об электронной цифровой подписи» Ответственность за нарушение законодательства электронной цифровой подписи (статья 22 Закона): при использовании 1) лица, неправомерно использующие электронную цифровую подпись другого лица, включая неправомерное получение закрытого ключа и (или) проставление электронной цифровой подписи другого лица без должных полномочий, несут в соответствии с национальным законодательством уголовную, гражданскоправовую и административную ответственность; 2) в случае причинения убытков в результате несоответствия средств электронной цифровой подписи заявленным изготовителем свойствам или нарушения установленной процедуры проверки средств электронной цифровой подписи центр сертификации средств электронной цифровой подписи несет гражданскоправовую ответственность; 3) неправомерный доступ к средствам электронной цифровой подписи, неправомерное создание и использование закрытых ключей электронной цифровой подписи влекут в соответствии с национальным законодательством уголовную ответственность; 18 Ответственность согласно Модельному закону СНГ «Об электронной цифровой подписи» Ответственность за нарушение законодательства электронной цифровой подписи (статья 22 Закона): при использовании 4) в случае причинения убытков пользователю открытого ключа электронной цифровой подписи вследствие несанкционированного доступа к закрытому ключу электронной цифровой подписи по вине владельца закрытого ключа электронной цифровой подписи последний обязан возместить убытки; 5) получатель открытого ключа электронной цифровой подписи несет ответственность за выполнение условий хранения и использования открытого ключа, установленных договором если владелец закрытого ключа электронной цифровой подписи передает открытый ключ электронной цифровой подписи по договору об использовании электронной цифровой подписи. 19 Итоги 1. Анализ украинского законодательства в сфере электронной цифровой подписи и соостветственных международных актов подчеркивает необходимость введения ответственности в сфере предоставления указанных услуг. 2. Международные акты рекомендуют установить ответственность: 1) подписавшего лица; 2) поставщика сертификационных услуг; 3) полагающейся стороны. 3. В Типовом законе ЮНСИТРАЛ об электронных подписях сформулирован общий комплекс основных правил, определяющих некоторые обязанности сторон в процессе подписания и удостоверения подлинности, которые могут влиять на их индивидуальную ответственность. 20 Итоги 4. Международные акты в сфере электронной подписи устанавливают базовую основу для ответственности, предоставляя при этом каждому отдельному государству право самостоятельно регулировать вопросы касательно форм и видов ответственности. 5. Важным аспектом являются различия между внутренними режимами ответственности, существующими в разных странах, а также те элементы, которые их объединяют, с тем чтобы разработать надлежащие методы и процедуры признания подписей, подкрепляемых иностранными сертификатами. Во внутреннем законодательстве различных стран даются аналогичные ответы, что может объясняться общностью правовых традиций этих стран или их участием в региональных механизмах интеграции. Для таких стран могут быть целесообразными выработка единых стандартов ответственности и даже взаимное согласование внутренних правил в целях содействия трансграничному использованию электронных методов подписания и удостоверения подлинности. 21 Спасибо за внимание! Порот Марина АО«ИРПТ» 22