Правовое регулирование электронного документооборота
Широкоевнедрение компьютерной техники во все сферы деятельности человека привело кизменениям в обществе, пожалуй, не меньшим, чем промышленная революция XIX в.За несколько десятилетий ЭВМ превратились из чисто «вычислительных»машин в мощные системы по обработке, хранению, передаче информации.
Врезультате создания глобальных компьютерных сетей произошел настоящий переворотв области передачи и распространения информации. С использованием средствудаленного доступа стали проводиться торги, участники которых имеют возможностьсовершать сделки, не покидая своего офиса. Поручения о переводе денег могутпередаваться в банк в виде компьютерных данных за считанные секунды. Чтобызаключить договор в письменной форме, уже необязательно писать его на бумаге изаверять подписью и печатью — достаточно заверить компьютерный файл с текстомдоговора электронной цифровой подписью и направить его по телекоммуникационнымканалам партнеру.
Именнокомпьютеризация информационной деятельности помогла человечеству существенноускорить процессы обработки, поиска, передачи информации, повысить надежностьхранения больших ее массивов и тем самым преодолеть так называемый «второйинформационный барьер».
Вместес тем компьютеризация привела к возникновению целого ряда проблем, в том числеи правовых. Традиционные правовые системы создавались в эпоху, когдаглавенствующую роль в рыночном обмене занимали материальные товары(«индустриальная цивилизация»), а теперь, когда информация встоимостном выражении стала существенной частью рынка, когда новые компьютерныетехнологии существенно изменили функционирование самого рынка, указанныесистемы часто уже не дают адекватных ответов на многие вопросы.
К числутаких проблем можно отнести следующие:
1)появление нового типа преступлений — преступлений в сфере компьютернойинформации, связанных с несанкционированным доступом к компьютерной информации,созданием и распространением компьютерных вирусов и т.п.;
2)обеспечение правовой охраны программ для ЭВМ; определение правового режимакомпьютерной информации, баз данных;
3)регламентация доступа к базам данных, содержащим сведения о личной жизниграждан, определение ответственности за несанкционированное разглашение такихсведений;
4)правовое регулирование использования систем электронного документооборота и всвязи с этим определение правового статуса электронных документов;
5)правовые проблемы, связанные с функционированием глобальных сетей,трансграничной передачей данных и трансграничными компьютерными преступлениями,и ряд других.
Обсудитьвсе перечисленные проблемы в рамках одной статьи не представляется возможным.Мы рассмотрим лишь некоторые аспекты проблем, указанных в пп. 4 и 5.
Системы электронного документооборота
Развитиекомпьютерных технологий позволило во многих областях заменить бумажныйдокументооборот безбумажным (электронным).
Первыесистемы электронного документооборота (ЭДО) появились в банковской сфере. Взападной литературе такие системы получили название «системы электронногоперевода денежных средств» (The Electronic Funds Transfer Systems (EFTS)).Одна из таких систем SWIFT1 функционирует с начала 1970-х годов.
Вдальнейшем системы ЭДО стали широко применяться и для обмена другойкоммерческой информацией. (Английское название таких систем Electronic DataInterchange, или сокращенно EDI.) Уже много лет такие системы используются дляпродажи и бронирования авиационных билетов; пятнадцать национальных союзовпредприятий химической промышленности стран Западной Европы создали специальнуюорганизацию для осуществления обмена электронными документами; аналогичнаяорганизация была учреждена и западноевропейскими производителями автомобилей;транснациональная текстильная компания «Benetton» использует системуЭДО для передачи необходимой информации между своими подразделениями,занимающимися продажей и производством продукции.
Дажеэти несколько примеров показывают, насколько широк спектр применения систембезбумажного документооборота в коммерческой деятельности в индустриальноразвитых странах. И в такой сфере, как оформление таможенных документов, где,казалось бы, трудно избежать заполнения бумажных форм и бланков, в некоторыхстранах (например, во Франции, Норвегии) стало возможным представлениедеклараций в электронном виде. К проекту TVINN2 Норвежского таможенногоуправления присоединилось около семидесяти крупнейших норвежских компаний. Врамках этого проекта создана система ЭДО, позволяющая ее участникамиспользовать электронные таможенные декларации, которые направляются втаможенные органы из центральных офисов фирм по телекоммуникационным сетям.
Впоследние годы системы ЭДО стали активно внедряться и в нашей стране. Рядкрупных банков и банковских объединений (например Межбанковский финансовый дом)создают и используют в работе с клиентами и в межбанковском обмене указанныесистемы.
Очевидно,масштабы использования систем ЭДО в коммерческой деятельности будутувеличиваться благодаря множеству несомненных преимуществ этих систем передтрадиционным документооборотом на бумажных носителях.
Во-первых, существенно возрастает скорость передачи и обработкиинформации. Правда, скорость выше только по сравнению с передачей бумажныхдокументов по почте или с курьером, а такие средства обмена сообщениями, кактелетайп и телефакс, позволяют обеспечить практически одинаковую с ЭДОскорость. Но и по сравнению с ними ЭДО имеет существенное преимущество. СистемыЭДО позволяют передавать структурированную определенным образом информацию, чтов свою очередь позволяет автоматизировать обработку принимаемых сообщений.Естественно, при этом стороны должны предварительно договориться об обменеэлектронными документами и об их структуре. Проблема стандартизации документовв системах ЭДО является одной из важнейших на настоящий момент.
Во-вторых, значительно сокращается пространство, необходимоедля хранения документации (например, вся «Большая советскаяэнциклопедия» может быть записана на одном жестком магнитном диске персональногокомпьютера). Одновременно существенно упрощаются такие операции, как поискнеобходимой информации, копирование документов.
В-третьих, использование систем ЭДО позволяет получить ощутимыйэкономический эффект. По оценкам американских фирм-производителей автомобилей,внедрение ЭДО позволяет сэкономить около 200 долл. на каждом автомобиле3.Суммарное годовое сокращение издержек благодаря использованию систем ЭДО вНорвегии оценивалось в 1989 г. в 5 млрд норв. кр.4 (около 1 млрд долл.).
Преждечем перейдем к правовым аспектам использования систем ЭДО, остановимся вкратцееще на двух вопросах, имеющих непосредственное отношение к обсуждаемой теме.
Любойли обмен данными в электронном виде можно считать электроннымдокументооборотом?
Существуютдва подхода к определению этого понятия. Первый подход (его можно назвать ЭДО вшироком смысле) предполагает, что любой обмен компьютерными данными междуразличными субъектами можно считать ЭДО. В этом смысле, например, передачакомпьютерных файлов на дискете или система электронной почты, когда получаемаяинформация обрабатывается «вручную», подпадают под определение ЭДО.Например, П. Даукинс дает такое определение: «ЭДО есть передачакоммерческой информации между организациями в электронном в иде и, в частности,между компьютерами различных организаций»5. При втором подходе (ЭДО вузком смысле) к подобным системам относят только передачу по каналамтелекоммуникационной связи структурированной коммерческой информации, причемпредполагается, что хотя бы первичная обработка сообщений производитсяавтоматически, без участия человека. Д. Палмер пишет: «ЭДО — это передачаструктурированной деловой информации от компьютера к компьютеру»6.Приведем еще два определения: «ЭДО — это передача электронным способомструктурированных в соответствии с согласованными стандартами сообщений междуинформационными системами»; «сообщение — это набор связанных междусобой данных, структурированных в соответствии с согласованными стандартами;данные подготовлены в компьютерочитаемом формате и могут быть автоматически иоднозначно обработаны; набор таких данных предназначен для передачи вэлектронном виде»7. Очевидно, таким требованиям удовлетворяют банковскиесистемы, автоматизированные системы проведения торгов. В названных системахавтоматически проверяется аутентичность документа, его допустимость, т. е.соответствие структуры документа согласованным стандартам, и возможноавтоматическое выполнение определенных операций, предусмотренных для допустимыхдокументов.
Вдальнейшем в данной статье, если специально не будет оговорено другое, речьбудет идти об ЭДО в широком смысле. Следует отметить, что в любом случаепредполагается обмен деловой информацией между различными субъектами.Компьютерное же делопроизводство в рамках одной организации или частнаяпереписка с использованием электронной почты, например, не подпадают под данноеопределение ЭДО.
Ктоотносится к субъектам электронного документооборота?
Принципиальновозможны две схемы организации ЭДО. Первая схема предполагает прямую передачуданных участниками ЭДО без привлечения третьих лиц.
Схема 1
———————————————————————————————————————————————————————————
| Участник А | | Участник Б |
———————————————————————————————————————————————————————————
В этойситуации стороны сами устанавливают «правила игры», т. е. определяютстандарты сообщений, выбирают оборудование и программное обеспечение,определяют процедуры разрешения конфликтов. При решении вопроса о распределениириска убытков здесь возможно участие третьих лиц (разработчиков программногообеспечения, поставщиков специального оборудования); подробнее эти вопросыбудут рассмотрены в следующей статье. Более распространенной является втораясхема, в которой присутствует фирма-провайдер, обычно берущая на себя установкупрограммного обеспечения и оборудования, контроль за их работой, следит закорректностью передачи данных, оказывает услуги по ведению архива передаваемыхданных и т. п.
Схема 2
—————————————— ——————————————. . ——————————————
| Участник А | | Провайдер | | Участник В |
—————————————————————|——————————————|———————————————————|
. . | | . |
. . | | . |
—————————————— . . |——————————————|. . ——————————————|
| Участник Б | | Провайдер | | Участник Г |
————————————————————————————————————————————————————————
Дляорганизации такого варианта ЭДО можно использовать две структуры договорныхсвязей.
Впервом случае обычно провайдер и несколько сторон создают начальную сеть ЭДО, вдальнейшем к ним может присоединиться произвольное количество новых участников.Здесь, как и в случае, представленном в схеме 1, участники ЭДО (а такжепровайдер) связаны между собой договором, в котором определены права иобязанности сторон, описаны процедуры разрешения конфликтов, распределениериска убытков. Поскольку функционирование системы ЭДО начинается послеподписания такого договора, то данный договор заключается в традиционнойписьменной форме (на бумаге). Это обстоятельство, как будет показано далее,является существенным для признания арбитражными судами электронных документовв качестве доказательств.
Второйслучай характерен для открытых сетей. Здесь участники ЭДО заключают договортолько с провайдером. В такой ситуации участники (которые, возможно, физическирасполагаются даже на разных континентах, что затрудняет их непосредственноеобщение) могут заключить договор об использовании системы ЭДО в электронномвиде. Упомянутый договор может содержать свои (отличные от общих) стандартысообщений и другие положения, аналогичные описанным в предыдущем случае, но этидве модели организации систем ЭДО, похожие по сути, существенно различаются сточки зрения возможности использования электронных документов в качестведоказательств в суде.
Назовемтеперь основные, на наш взгляд, юридические проблемы, которые могут возникнутьв процессе функционирования систем ЭДО. К ним относятся:
проверкаподлинности электронного документа;
возможностьиспользования электронных документов (ЭД) в качестве доказательств варбитражных судах;
распределениериска убытков, которые могут возникнуть в процессе функционирования систем ЭДО;
взаимоотношенияюридических лиц, использующих ЭДО, с аудиторскими фирмами, налоговыми и другимигосударственными органами, куда необходимо представлять отчетность о своейдеятельности;
международноправовыепроблемы, которые могут возникнуть, когда, например, два участника ЭДО ипровайдер находятся в разных странах;
стандартизация;
защитаинформации в системах ЭДО.
Остановимсяподробнее на первой из перечисленных проблем.
Понятие электронного документа
С точкизрения традиционного документооборота можно выделить две основные функциибумажного документа: информационную и доказательственную (т. е. возможностьиспользовать его в качестве допустимого доказательства). Главной причиной, покоторой именно бумажные документы выполняют эти функции, является то, чтоименно бумага была на протяжении многих столетий наиболее распространеннымматериальным носителем, используемым для передачи и хранения информации. Впоследние десятилетия ситуация резко изменилась, объемы передаваемых вэлектронном виде данных стремительно растут. Как отмечалось ранее, системы безбумажногодокументооборота получают все более широкое распространение в самых разныхобластях. В связи с этим важное значение приобретает определение правовогостатуса электронного документа — очерчивание областей, где возможно и допустимоего применение.
Преждевсего попытаемся сформулировать, что же такое традиционный документ (документна бумажном носителе). Нам представляется, что наиболее полное и точное егоопределение дал В. Я. Дорохов: «Документ — письменный акт установленнойили общепринятой формы, составленный определенными и компетентнымиучреждениями, предприятиями, организациями, должностными лицами, а такжегражданами для изложения сведений о фактах или удостоверения фактов, имеющихюридическое значение, или для подтверждения прав и обязанностей»8.
Требованияк документу, вытекающие из приведенного определения, можно разделить на тригруппы. Первая отражает информационную функцию документа: документом может бытьне любая информация, зафиксированная на бумажном носителе, а только сведенияопределенного характера (это требование согласуется с приведенным ранееопределением ЭДО). Вторая (требования к форме) группа — это, по существу,требования, обеспечивающие доказательственную функцию документа (реквизитамиформы могут служить наличие печати и подписи определенного лица, персональныеданные о лице, издавшем документ, а также требования к бумажному носителю,например, бумага с защитными знаками и т. п.). Третья группа (компетентностьисточника документа) как бы связывает первые две, придает юридическуюзначимость документу. Документ, изданный некомпетентным органом, подписанный неуполномоченным на то лицом либо анонимный, не может служить подтверждениемизложенных в нем сведений о фактах, удостоверять факты или подтверждать права иобязанности.
Очевидно,легко обеспечить для данных, записанных в компьютерном формате, выполнениеусловий первой и третьей групп. Некоторые из требований к форме документа(например, соблюдение определенной последовательности изложения содержания ирасположения текста ) тоже могут быть соблюдены. Другие требования второйгруппы (наличие печати организации, собственноручной подписи лица, специальныйтип бумаги) принципиально неприемлемы для электронных документов вследствиеспецифической природы компьютерных носителей информации.
Именнофизические характеристики электронных документов долгое время были объектомкритики противников безбумажных систем документооборота. В частности, вкачестве одного из аргументов приводилось следующее утверждение: то, чтонаписано на бумаге, трудно удалить и оно остается навечно; данные же накомпьютерных носителях могут быть легко уничтожены, они недолговечны. Но,во-первых, сохранность бумажных документов в значительной мере зависит откачества бумаги и для их длительного хранения необходимо применение специальныхмер, а во-вторых, современные носители компьютерных данных позволяют хранитьинформацию достаточно долго и при осуществлении соответствующих мербезопасности (в том числе и периодическое копирование) их надежность не ниже,чем у традиционных. Кроме того, когда речь идет о деловой информации, обычносуществуют определенные сроки хранения такой информации, исчисляемые годами илидесятилетиями, а в течение указанных сроков возможна сохранность даже магнитныхносителей, не говоря уже о дисках CD-ROM.
Ещеодин аргумент, приводимый в пользу бумажного документа, заключается в том, чтоон осязаем (т. е. любой может физически проверить наличие документа), каждыйграмотный человек может прочитать такой документ. То, что электронный документне может быть не посредственно воспринят человеком, не является непреодолимойсложностью. Теоретически, конечно, можно предположить, что создана система ЭДО,в которой один участник вносит в документ Manchester, а другой получает наэкране монитора или при распечатке Live rpool. Однако данная проблема легкорешается, если предположить, что существует согласованная участниками илиопределенная нормативным актом уполномоченного органа процедура изготовления поэлектронному оригиналу традиционной (бумажной) копии документа. (Более подробнооб этом мы поговорим, когда будем рассматривать процедуры разрешенияконфликтов, связанных с использованием ЭДО.)
И,наконец, пожалуй, самый существенный аргумент. Бумажный документ почтиневозможно изменить, в электронный же документ легко внести поправки, и оченьтрудно потом доказать факт их внесения. Можно, конечно, отметить, что подделкатрадиционных документов имеет, наверное, не меньшую историю, чем историяписьменности, но это не снимает проблемы идентификации электронных документов.
Решитьприемлемым образом данную задачу удалось только во второй половине 1970-хгодов, когда американские математики У. Диффи и М. Э. Хеллмэн предложилииспользовать цифровую подпись для подтверждения подлинности электронныхсообщений.
Сучетом изложенного электронный документ можно определить как набор данных,записанных в компьютерочитаемом виде, для которых выполнено следующее условие:существует признанная участниками ЭДО или утвержденная компетентным органомпроцедура, позволяющая однозначно преобразовать эти данные в документтрадиционного режима. Признание указанной процедуры должно быть подтвержденоучастниками системы ЭДО посредством традиционного (письменного) документа, либотакая процедура должна быть санкционирована уполномоченным государственныморганом.
Необходимостьтрадиционного документа или акта уполномоченного органа для признания процедурыпреобразования объясняется тем, что в противном случае возможен порочныйлогический круг, когда вопросы признания или непризнания юридической силыэлектронного документа будут решаться на основании другого электронногодокумента, силу которого тоже можно оспорить.
Очевидно,что для создания такой процедуры нужно, чтобы подлинность данных былаподтверждена с достаточной степенью надежности (например, с помощьюэлектронно-цифровой подписи).
Понятие электронно-цифровой подписи
В 1976г. американские математики У. Диффи и М.Э. Хеллмэн опубликовали работу подназванием «Новые направления в криптографии», которая существенноповлияла на дальнейшее развитие криптографии и, в частности, привела кпоявлению такого понятия, как «цифровая подпись» (часто используетсятермин «электронно-цифровая подпись» (ЭЦП), поскольку применяется онав основном для подтверждения подлинности электронных документов).
Мы небудем здесь подробно останавливаться на криптографическом определении цифровойподписи, а лишь представим в самом общем виде математические принципы,положенные в основу использования ЭЦП.
Преждевсего рассмотрим понятие «односторонняя функция с секретом». ФункцияF(k,s), зависящая от двух числовых аргументов — k (секретный ключ) и s(цифровая подпись) — и устанавливающая соответствие между этими аргументами идокументом 9, называется односторонней функцией с секретом. Ей присущиследующие свойства:
1. Длялюбого секретного ключа k и любой подписи s значение функции F можно вычислитьдостаточно просто (за приемлемое время)10, причем для вычисления по известномуs значения m необязательно знать ключ k. Другими словами, зная саму функцию F иs (цифровую подпись под данным документом), легко вычислить значение m, т.е.проверить подлинность данной подписи s под данным сообщением m.
2. Еслисекретный ключ k неизвестен, то по известным s (подписи) и m (сообщению)невозможно достаточно просто (за приемлемое время) найти секретный ключ k11.
3. Еслисекретный ключ k известен, то по известному (заданному) m (сообщению) можнодостаточно легко (за приемлемое время) вычислить s (подпись).
Сутьиспользования односторонних функций для цифрового подписывания заключается в следующем.Любой документ, как отмечалось, можно рассматривать как некоторое число m.Документ, подписанный цифровой подписью, по существу, есть пара чисел m и s,где m — сообщение (договор, платежное поручение и т.п.), а s — подпись, котораяполучена путем решения уравнения F(k,s) = m (для каждого сообщения mвычисляется своя подпись s). Здесь F — известная всем участникам электронногодокументооборота односторонняя функция, а k — секретный ключ. Из третьегосвойства односторонней функции следует, что существует алгоритм, позволяющийотправителю, знающему свой секретный ключ k, за приемлемое время вычислитьподпись под документом m. Кто-либо другой (не знающий секретного ключа k) несможет подписать документ (второе свойство односторонней функции), т. е. цифровуюподпись практически невозможно подделать. Поэтому при возникновении спора оподлинности подписи лицо, чей секретный ключ был использован для подписываниядокумента, не сможет отказаться от исполнения обязательств по такому документу(если только не докажет ненадежность используемых в системе ЭЦП алгоритмов, очем речь пойдет в следующей статье). Проверить подлинность подписи может любойучастник ЭДО, знающий открытый ключ, т. е. саму функцию F (первое свойствоодносторонней функции).
Ещеодним свойством ЭЦП, способствовавшим ее широкому практическому применение,является то, что подписанное сообщение можно, не опасаясь фальсификаций,передавать по любым, в том числе открытым, каналам связи. Если сообщение будетумышленно либо вследствие сбоев канала связи искажено, то подпись под нимокажется недействительной.
Представимсхему практического использования ЭЦП на простейшем примере. Пусть несколькоучастников системы ЭДО договорились использовать ЭЦП для подтвержденияподлинности своих электронных документов. Каждый участник i имеет свой открытыйключ Fi и секретный ключ ki, кроме того, каждому из участников известны всеоткрытые ключи Fi. Получив от участника i подписанный документ, любой другойучастник, зная соответствующий открытый ключ, может проверить подлинностьподписи под документом и, если подпись признана программой проверки подлинной,быть уверенным в том, что документ отправлен именно участником i и в документне были внесены никакие изменения.
Но, какговорится, было гладко на бумаге, да забыли про овраги. Первая проблемазаключается в том, что с момента введения математического понятия одностороннейфункции (1975 г.) ни для одной функции не удалось строго доказать, что онаявляется односторонней. На практике применяется несколько функций, для которыхвторое свойство пока строго не доказано, но установлено, что задача нахождениясекретного ключа k эквивалентна давно изучаемой трудной математической задаче,т. е. на настоящий момент не найдено достаточно быстрого алгоритма вычисленияk. Это не означает, что такой алгоритм не будет построен (если только неудастся подтвердить односторонность функции). Здесь следует сказать, что длянекоторых функций, относительно которых предполагалось, что они могут бытьодносторонними и могут использоваться для систем ЭЦП, были найденыполиномиальные (достаточно быстрые) алгоритмы нахождения секретного ключа k подокументу и подписи под ним, т. е. было доказано, что они не являютсяодносторонними. Поэтому выбор функции для реализации системы ЭЦП — один изсамых ответственных моментов, ведь если будет построен быстрый алгоритмнахождения секретного ключа, участники ЭДО могут понести значительные убытки,так как станет возможной подделка электронной подписи под документами.
Второй,уже чисто практической является проблема вычислений с большими числами на ЭВМ.Поскольку длина сообщения m, вообще говоря, не ограничена и может бытьдостаточно большой, то для вычисления подписи, возможно, придется оперироватьочень большими числами, что сложно реализовать на ЭВМ. Поэтому в используемыхна практике системах ЭЦП подпись вычисляется не для самого сообщения m, а длянекоторого числа определенной длины, которое получается из m посредствомприменения к нему специальной функции, называемой хэш-функцией. Другимисловами, хэш-функция задает соответствие между документом произвольной длины ичислом заранее заданной длины.
Внекоторых странах с целью минимизировать риски, связанные с выбором для системцифровой подписи хэш-функций и функций подписывания (упомянутых одностороннихфункций), введены государственные стандарты таких функций. В частности, вРоссии в 1994 г. были приняты стандарты: ГОСТ Р 34.11-94 «Функцияхэширования» и ГОСТ Р 34.10-94 «Процедуры выработки и проверкиэлектронной цифровой подписи на базе асимметричного криптографическогоалгоритма».
Первыйиз этих ГОСТов определяет функцию преобразования любой конечнойпоследовательности двоичных бит (т. е. любого документа) в бинарное (двоичное)число длины 256 (очевидно, что выбор длины существенно влияет на надежностьсистемы ЭЦП).
Второйстандарт определяет функцию и алгоритм вычисления электронно-цифровой подписи,а также алгоритм проверки подлинности подписи.
Такимобразом, система ЭЦП содержит три алгоритма: алгоритм хэширования(преобразования документа в двоичное число определенной длины), алгоритмвыработки ЭЦП под документом и алгоритм проверки подписи. Поскольку результатыработы первого алгоритма скрыты от пользователя (они используются как исходныеданные для второго алгоритма), то в популярной литературе обычно говорят о двухалгоритмах: подписывания и проверки подписи.
Функция,принятая в описанных стандартах, в качестве односторонней функции с секретомбыла предложена в 1977 г. американскими специалистами Р. Ривестом, А. Шамиром иЛ. Адлеманом. Системы на основе этой функции получили название «RSAсистем» (по первым буквам фамилий авторов).
Попытаемсяпроанализировать сравнительные характеристики различных способов подтвержденияподлинности как традиционных документов, так и данных, обрабатываемых с помощьюЭВМ.
Бумажныедокументы заверяются обычно либо собственноручной подписью компетентного лица суказанием его полного имени и должности, либо мастичной печатью юридическоголица (на практике часто используют оба эти способа одновременно; иногда вместособственноручной подписи должностного лица пользуются штампом с ее факсимильнымвоспроизведением). В последнее время реже применяется ранее распространенныйметод оттиска отпечатка пальца под документом. В случае компьютерных данныхиспользуются цифровая (электронно-цифровая) подпись, электронные (магнитные)карты/ключи, пароли.
Подписьтребуется для идентификации подписывающего лица и для подтверждения того, чтоинформация, приведенная в документе, достоверна. Традиционно считается, чтособственноручная подпись под документом имеет достаточно высокий уровеньнадежности. За столетия своего развития графология достигла значительныхуспехов, и с ее помощью можно установить с высокой степенью точностиподлинность традиционной подписи. Но тем не менее специалисты по графологииникогда не делают абсолютных заключений. Например, в практике Норвежскогосудопроизводства используются четыре уровня достоверности заключения оподлинности подписи: возможно, вероятно, очень вероятно, с уверенностью. Вроссийской судебной практике используются аналогичные утверждения: неисключено, с большой степенью вероятности и т. п. Таким образом,собственноручная подпись не дает абсолютной защиты от фальсификации документов.Более надежным способом в этом смысле является оттиск отпечатка пальца поддокументом, потому что отпечаток пальца неповторим, уникален.
Использованиештампов (печатей, факсимиле подписи и т. п.) также не может гарантировать отподделок. Кроме того, в этой ситуации возможен еще один способ фальсификациидокументов: печать может быть похищена, либо ее оттиск поставленнеуполномоченным лицом. А так как, в отличие от предыдущего случая, здесь нетфизической связи между тем, кто заверяет документ, и полученным на бумагеоттиском, выяснить, кто в действительности поставил печать, практическиневозможно (аналогичная ситуация складывается и с ЭЦП).
Использованиеэлектронных документов породило еще одну проблему, кроме указанных. Если длятрадиционных документов подпись или штамп всегда были жестко привязаны к самомудокументу, то, например, указание пароля либо предъявление магнитной карточкиоткрывает вход в некую систему создания документов, и в дальнейшем такиедокументы не имеют жестко увязанного с ними подтверждения их подлинности.Например, вы вставляете магнитную карточку в банкомат и вводите ваш код, послеэтого делаете запрос (создаете электронный документ) на получение определеннойсуммы наличными. Никакого документа, аналогичного расходному ордеру с вашейподписью, который вы заполняете в сбербанке, в данной ситуации не существует.Поэтому для повышения безопасности таких систем часто используются комбинацииразличных методов (например, при оплате товара или услуги с помощью магнитнойкарточки приходится подписывать бумажный документ, подтверждающий платеж).
Таблица
———————————————————————————————————————————————————————————————————————
| | | | |
|Метод | II | III | IV |
|—————————————————————|——————————————————|———————————————|——————————————|
|Собственноручная |Физическая | Высокий | Высокая |
|подпись |характеристика | | |
|—————————————————————|——————————————————|———————————————|——————————————|
| | | | |
|Отпечаток |Физическая | Низкий | Высокая |
|пальца |характеристика | | |
|—————————————————————|——————————————————|———————————————|——————————————|
| | | | |
|Электронная |Имеет | Низкий | Очень |
|карточка/ключ | | | низкая |
|—————————————————————|——————————————————|———————————————|——————————————|
| | | | |
|Пароль |Знает | Средний | Очень |
| | | | Низкая |
|—————————————————————|——————————————————|———————————————|——————————————|
|Электронно-цифровая |Знает | Средний | Высокая |
|подпись | | | |
| | | | |
———————————————————————————————————————————————————————————————————————
Впредлагаемой таблице отображены характеристики различных способов подтвержденияподлинности документов. В столбце II указан тип связи между лицом, использующимсоответствующий способ, и используемыми средствами; в столбце III — уровеньвозможности идентификации заверившего документ лица по самому документу; встолбце IV — степень привязки к документу.
Изприведенной таблицы видно, что цифровая подпись служит достаточно надежнымспособом подтверждения подлинности документов. Она обеспечивает высокий уровеньзащиты документа от внесения несанкционированных изменений (столбец II),подделать ее практически невозможно. Единственный ее недостаток, по сравнению собычной подписью, в том, что по ней нельзя с такой же степенью уверенностиопределить, кто именно подписал документ ( столбец III). Это обусловлено тем,что некоторые физические характеристики человека практически неповторимы(почерк, отпечаток пальца и т. п.), а о секретном ключе человек может умышленнолибо случайно кому-то рассказать, ключ могут подсмотреть или украсть, если егозаписали. Но данное свойство цифровой подписи не является непреодолимымпрепятствием для ее широкого использования в гражданском обороте. Достаточно,чтобы каждый из участников системы ЭДО объявил о признании своих обязательствпо всем документам, заверенным его цифровой подписью, пока в системе не будетофициально объявлено о компрометации секретного ключа (подробнее на этомостановимся в следующей статье).
Длятого чтобы цифровая подпись широко вошла в гражданский оборот и применяласьнаряду с традиционной (используемой уже тысячелетиями) подписью, требовалосьвыполнить несколько условий как правового, так и неправового характера.
1.Субъекты гражданского оборота оценили удобство и выгодность ее использования.Ранее были показаны преимущества использования систем ЭДО. Однако если такиесистемы не позволят совершать гражданско-правовые сделки, а будут толькоудобным инструментом для быстрого обмена информацией, то экономический эффектот их использования, очевидно, снизится.
2.Математики-криптологи предложили достаточно надежный способ подтвержденияподлинности электронных документов и убедили в его надежности и возможностипрактического использования потенциальных пользователей, а также законодателя.
3.Наконец, законодатель: а) определил, что (представляет собой цифровая подпись(в отличие от традиционной подписи от руки, которую можно считать объектомочевидным и не нуждающимся в определении); б) закрепил возможность и сферыприменения электронных документов и цифровой подписи; в) установил допустимостьиспользования электронных документов в качестве доказательств в суде.
Мы ужеобсудили первые две проблемы и рассмотрели стандарты, связанные сиспользованием цифровой подписи. Очевидно, что без утвержденного государствомопределения ЭЦП можно было только теоретически рассуждать о том, что некотораяпоследовательность байт, добавленная к файлу, является аналогом (на самом деле,как было показано, неполным) собственноручной подписи и может быть использованатам, где требуется подпись под документом. Но если вспомнить, что дажекриптографическое определение ЭЦП вводится через объекты (односторонние функциис секретом), существование которых строго математически не доказано, а собыденной точки зрения ЭЦП вообще похожа на строку кабалистических символов, тостанет ясно: были необходимы нормативные акты, где давалось бы четкоеюридическое определение электронно-цифровой подписи под электронным документом.Такими актами и стали упомянутые стандарты. Исходя из вышеизложенного, следуетотметить, что цифровой подписью является только последовательность байт,полученная путем применения алгоритмов и функций, описанных в стандарте12. Еслибудут использованы другие функции или, например, длина числа, в котороехэш-функция преобразовывает документ, отличается от указанной в стандарте, то полученнаяподобным образом подпись не будет ЭЦП в юридическом смысле (хотя с точки зрениякриптографии она ничем не хуже и не лучше «официальной»). И,следовательно, документ, подписанный «нестандартной» ЭЦП, сюридической точки зрения не может рассматриваться как документ, заверенный ЭЦП.
Вданной статье мы остановились лишь на самых общих вопросах, связанных сиспользованием систем ЭДО (участники таких систем, понятие электронногодокумента, понятие цифровой подписи). В дальнейшем предполагается рассмотретьтакие вопросы, как правовой режим электронного документа, распределение рискаубытков среди участников системы ЭДО, возможность использования электронныхдокументов в качестве доказательств в суде, лицензирование деятельности,связанной с созданием средств функционирования систем ЭДО и некоторые другие.
___________________________________
1 Society for Worldwide Interbank FinancialTelecommunications — Всемирное общество межбанковских финансовыхтелекоммуникаций.
2 Tollvesenets Innforsels/utforsels system mednaringslivet i Norge Импортно/экспортная система таможенного управления инорвежских предпринимателей.
3 The Journal ofBusiness Strategy. 1990. Jan.
4 Cf Datatid.1989. N 12.
5 Dawkins P. Thefunctions required of software packages for EDI // EDI technology / Ed. M.Gifkins. L., 1989.
6 Palmer D. EDI — The nuts and the bolts // EDI technology / Ed. M. Gifkins. L., 1989.
7 The TEDISInterchange Agreement // Final Draft. 1991.May.
8 См.: Дорохов В.Я. Понятие документа в советском праве// Правоведение. 1982. N 2. С. 55.
9 Любой документ можно представить себе как некоторое(может быть, очень большое) число. Один из возможных способов кодированиядокумента числом — обычное представление его в виде компьютерного файла, послечего получившаяся последовательность двоичных битов интерпретируется как числов двоичной системе счисления.
10 Здесь и далее мы используем словосочетания«можно вычислить достаточно просто», «за приемлемое время»;в строгом математическом определении, естественно, применяется другаятерминология: «существует полиномиальный алгоритм вычисления значенияфункции» и т.п.
11 Второе свойство, очевидно, свидетельствует осложности подделки цифровой подписи. Здесь мы опять используем термин«приемлемое время» вместо не очень понятных «полиномиальныхалгоритмов». Для большей наглядности криптологи часто приводят такоеразъяснение для «неприемлемого времени»: если объединить сотню самыхбыстродействующих современных компьютеров и заставить их искать по известным внастоящее время алгоритмам секретный ключ по имеющимся документу и подписи подним, то понадобится несколько сотен лет.
12 В юридической литературе (см. напр.: Право и рынок //N 11, 1996. С. 12) можно встретить определение ЭЦП через следующиехарактеристики: набор байтов, являющийся результатом работы программы генерацииЭЦП; ЭЦП является аналогом собственноручной подписи; она неразрывно связана сконкретным документом и только с ним; делает невозможным изменение документабез нарушения подлинности подписи. Ни одна из приведенных характеристик неявляется полностью справедливой для ЭЦП (а некоторые просто не верны).Во-первых, следовало бы уточнить, что программы генерации должны работать наосновании алгоритмов, утвержденных ГОСТами. Во-вторых, не является полныманалогом собственноручной подписи (см. таблицу и пояснения к ней). В-третьих,поскольку множество возможных документов шире, чем множество подписей, то однаи та же подпись одного лица может быть связана с различными документами, поэтой же причине в четвертой характеристике следует говорить о малой вероятностиили практической невозможности подделки ЭЦП (см. сн. 11).