Электронные подписи предназначаются для выявления автора электронного сообщения и определения его намерения в отношении этого сообщения. Некоторые типы электронных подписей, а именно цифровые подписи на основе сертификатов инфраструктуры открытого ключа, могут предоставлять дополнительную информацию, например, относительно добросовестности цифрового послания и временных меток.
Многие законодательные акты касаются юридического признания электронных подписей и устанавливают требования, которые должны соблюдаться, с тем чтобы электронная подпись могла считаться юридически эквивалентной собственноручной подписи. Это отражает важность подписей в деловой практике. Однако законодательные подходы могут существенно различаться, в частности в отношении «технологической нейтральности» и признания поставщиков услуг.
Доверительные услуги - это комплекс электронных услуг, которые обеспечивают гарантию качества данных. Они часто используется для обеспечения безопасности информации, хранящейся в электронном сообщении, и гарантии того, что данное электронное сообщение не было повреждено.
I.B.1 Рассматривает ли закон вопрос о том, каким образом электронные подписи, в том числе для идентификации, разрешения и аутентификации, добавляются в электронную среду? Требует ли он использования конкретной технологии или метода для электронных подписей или эта технология является нейтральной?
(а) Закон может предписывать использование конкретной технологии для электронных подписей. Технологический подход определяет, как электронные подписи должны быть созданы и аутентифицированы (сертифицированы), чтобы быть действительными. Целью этого подхода, как правило, является обеспечение надежности или безопасности выполнения электронной подписью своей главной функции - идентификации подписавшего, а также связи между подписавшим и подписанной информацией. Таким образом, закон может потребовать использования цифровых сертификатов на основе ИОК. В этом случае закон может также определить перечень поставщиков ИОК и иных услуг, а также установить для них режим надзора (сертификация, аккредитация, лицензирование и т.д.).
Статья 2 «Закона Республики Армения об электронном документе и электронной цифровой подписи 2004 года» определяет электронную подпись, ссылаясь на использование криптографических методов:
2. Определения
Электронная цифровая подпись–полученная посредством криптографического преобразования информации и представленная в электронно-цифровой форме уникальная последовательность символов для создания данных электронной цифровой подписи и данного электронного документа, которая приобщена к электронным документам либо логически связана с ними и используется для идентификации подписывающего лица, а также для защиты электронного документа от подделок и искажений
(b) В качестве альтернативы законодательство может быть «технологически нейтральным» и признавать все виды электронных подписей. Исключения могут быть сделаны для конкретных видов документов или операций.
Например, в статье 10 «Закона Австралии об электронных транзакциях 1999 года» сказано:
10. Требование к подписи
(1) Если в соответствии с законодательством Содружества требуется подпись какого-либо лица, то это требование считается выполненным в отношении электронного сообщения, если:
(а) во всех случаях используется метод идентификации лица и указания намерения этого лица в отношении сообщаемой информации; и
(b) во всех случаях используемый метод был либо:
i. настолько надежен, насколько это уместно для цели, для которой было подготовлено или передано электронное сообщение, в свете всех обстоятельств, включая любое соответствующее соглашение; или
ii. доказано, что он фактически выполнил функции, описанные в пункте (а), сам по себе или вместе с другими доказательствами; и
I если подпись должна быть предоставлена субъекту Содружества или лицу, действующему от имени субъекта содружества, и субъект требует, чтобы используемый метод, упомянутый в пункте (а), соответствовал конкретным требованиям информационной технологии, - требование субъекта было выполнено; и
(d) если требуется, чтобы подпись была дана лицу, которое не является ни субъектом Содружества, ни лицом, действующим от имени субъекта Содружества, - лицо, которому требуется дать подпись, дает согласие на выполнение этого требования путем использования метода, упомянутого в пункте а).
(с) Зачастую в законодательстве используется «гибридный» подход: 1) все способы проверки подлинности могут быть признаны как имеющие юридическую значимость, если они отвечают определенным требованиям; 2) некоторые технологии, обеспечивающие более высокий уровень безопасности могут иметь более высокий правовой статус.
Статья 226 «Закона Новой Зеландии о контрактном и коммерческом праве 2017 года» представляет собой «технологически нейтральный» закон об электронных подписях, основанный на подходе «функциональной эквивалентности»:
226. Юридические требования к подписи
(1) Юридические требования к подписи, отличной от подписи свидетеля, удовлетворяются с помощью электронной подписи, если электронная подпись:
(а) адекватно идентифицирует подписавшего и адекватно указывает на одобрение подписавшим информации, к которой относится подпись; и
(b) является настолько надежным, насколько это уместно с учетом цели, для которой требуется подпись, и обстоятельств, при которых она требуется.
(2) Однако юридические требования к подписи, относящейся к информации, которая по закону должна быть предоставлена лицу, удовлетворяются с помощью электронной подписи только в том случае, если это лицо дает согласие на получение электронной подписи.
Статья 228 того же «Закона…» устанавливает «технологически нейтральные» требования к надежности электронной подписи:
228. Презумпция достоверности электронных подписей
(1) для целей статей 226 и 227 предполагается, что электронная подпись является настолько надежной, насколько это уместно, если:
(а) средства создания электронной подписи связаны с подписавшим и ни с каким другим лицом; и
(b) средства создания электронной подписи находились под контролем подписавшего, а не какого-либо другого лица; и
(с) любое изменение электронной подписи, внесенное после момента подписания, поддается обнаружению; и
(d) в тех случаях, когда цель юридического требования о подписи заключается в обеспечении гарантии целостности информации, к которой она относится, любое изменение, внесенное в эту информацию после момента подписания, поддается обнаружению.
(2) пункт (1) не препятствует любому лицу доказывать на иных основаниях или иными средствами, что электронная подпись:
(а) является настолько надежной, насколько это уместно; или
(b) не настолько надежной, насколько это уместно.
I.B.2 Применяет ли закон метод «функциональной эквивалентности» для электронных подписей?
В соответствии с общим применением принципа «функциональной эквивалентности» закон может устанавливать условия, при которых электронная подпись считается эквивалентной рукописной. Если используется подход «функциональной эквивалентности», то электронная подпись, как правило, должна идентифицировать подписавшего и указывать намерение подписавшего в отношении подписанной информации.
Например, статья 9 ТЗЭПЗ:
9. Подпись
В тех случаях, когда законодательство требует наличия подписи какого-либо лица или допускает его, это требование считается выполненным посредством электронной передаваемой записи, если используется надежный метод для идентификации этого лица и указания намерения этого лица в отношении информации, содержащейся в электронной передаваемой записи.
I.B.3 Базируется ли закон на международных стандартах?
Законодательство об электронной подписи многих стран мира основано на единообразных моделях.
Правовые тексты ЮНСИТРАЛ, особенно ТЗЭП, содержат ряд положений об электронных подписях, основанных на принципе «технологической нейтральности» и «функциональной эквивалентности». Существуют и другие региональные модели, например, «Регламент Европейского Парламента и Совета ЕС 910/2014 от 23 июля 2014 г. об электронной идентификации и удостоверительных сервисах для электронных трансакций на внутреннем рынке и об отмене Директивы 1999/93/ЕС» (Регламент eIDAS), а также некоторые другие национальные законы.
I.B.4 Признает ли закон иностранные электронные подписи?
Иностранная электронная подпись - это электронная подпись, которая выдается или применяется за пределами юрисдикции, в которой запрашивается ее юридическое признание. Он также может содержать другие иностранные элементы, такие как использование сертификата на основе ИОК, созданного за рубежом.
В некоторых юрисдикциях закон признает только национальные электронные подписи. В других – данное признание может быть неявным, поскольку закон не содержит никаких положений об иностранных электронных подписях. Однако отсутствие упоминания о них в национальном законодательстве не обязательно означает, что они недействительны.
Другие юрисдикции могут иметь нормативно-правовые акты, правила или соглашения, обеспечивающие юридическое признание иностранных электронных подписей.
Закон может наделять определенный орган возможностью признания электронных подписей или их отдельных видов на основе общих руководящих принципов.
Например, «Закон Индии об информационных технологиях 2000 года (№ 21 от 2000 года)»:
19. Признание иностранных удостоверяющих органов
19 (1) при соблюдении таких условий и ограничений, которые могут быть установлены правилами, контролер может с предварительного одобрения центрального правительства и путем уведомления в Официальном бюллетене признать любой иностранный удостоверяющий орган удостоверяющим органом для целей настоящего Закона.
89. Полномочия контролера принимать нормативные акты
89 (1) Контролер может после консультаций с консультативным комитетом по Киберрегулированию и с предварительного одобрения центрального правительства путем уведомления в Официальном бюллетене принять правила, соответствующие настоящему Закону и правилам, установленным в соответствии с ним, для осуществления целей настоящего Закона.
(2) В частности, и без ущерба для общего характера вышеуказанных полномочий, такие правила могут предусматривать все или любой из следующих вопросов, а именно: [...] (b) условия и ограничения, при соблюдении которых контролер может признать любой иностранный удостоверяющий орган в соответствии с пунктом (1) статьи 19.;
Кроме того, в «технологически нейтральном» законодательстве к иностранным электронным подписям могут предъявляться те же требования, что и к национальным.
В этой связи статья 12 ТЗЭП предусматривает проверку эквивалентности между уровнями надежности электронных подписей, сгенерированных в различных местах (внутри и за пределами принимающего государства). Данная статья обеспечивает юридическую силу иностранной электронной подписи, если эта подпись обеспечивает тот же уровень надежности, что и подпись, выданная в принимающем государстве:
12. Признание иностранных сертификатов и электронных подписей
1. При определении того, обладает ли — или в какой мере обладает — сертификат или электронная подпись юридической силой, не учитываются:
a) место выдачи сертификата или создания или использования электронной подписи; или
b) местонахождение коммерческого предприятия эмитента или подписавшего.
2. Сертификат, выданный за пределами [принимающего государства], обладает такой же юридической силой в [принимающем государстве], как и сертификат, выданный в [принимающем государстве], если он обеспечивает по существу эквивалентный уровень надежности.
3. Электронная подпись, созданная или используемая за пределами [принимающего государства], обладает такой же юридической силой в [принимающем государстве], как и электронная подпись, созданная или используемая в [принимающем государстве], если она обеспечивает по существу эквивалентный уровень надежности.
4. При определении того, обеспечивает ли сертификат или электронная подпись по существу эквивалентный уровень надежности для целей пункта 2 или 3, следует учитывать признанные международные стандарты и любые другие соответствующие факторы.
5. В тех случаях, когда, независимо от положений пунктов 2, 3 и 4, стороны договариваются между собой об использовании определенных видов электронных подписей или сертификатов, такая договоренность признается достаточной для цели трансграничного признания, за исключением случаев, когда такая договоренность не будет действительной или не будет иметь силы согласно применимому праву.
Юридическое признание иностранных подписей может быть также предусмотрено договором или региональным документом. Например, статья 9 (3) «Конвенции ООН об использовании электронных сообщений в международных договорах 2005 года» признает иностранные электронные подписи, которые используются в трансграничных коммерческих операциях между государствами-участниками. В Европейском Союзе таким документом выступает Регламент eIDAS.
Юридическое признание иностранных электронных подписей или некоторых их видов, используемых для электронного обмена в рамках конкретного сектора (например, банков) или между конкретными участниками (например, государственными органами), может определяться либо специальными нормативно-правовыми актами (например, законами о таможенном регулировании), либо другими правовыми документами.
Наконец, закон может позволить сторонам коммерческой сделки договориться об условиях признания иностранных подписей. Это часто допускается на основе общих правовых принципов, а не конкретных положений закона. Механизм взаимного признания ИОК Паназиатского Альянса по электронной коммерции (ПАА) является договорным механизмом, используемым участниками ПАА для достижения взаимного юридического признания иностранных цифровых сертификатов.
I.B.5 Существуют ли специальные правила использования электронных подписей в безбумажной торговле?
Если будут приняты нормативно-правовые акты о безбумажной торговле, они могут содержать специальные положения об этом. Примером такого акта может служить правовой режим функционирования электронного «единого окна».
I.B.6 Признает ли закон доверительные услуги?
Доверительные услуги - это группа электронных сервисов, которые обеспечивают гарантию качества данных. Электронные подписи можно считать одним из видов доверительных услуг, однако, принимая во внимания их важность, они рассматриваются отдельно. К типичным доверительным услугам также относится обеспечение целостности сообщения, а также даты и времени выполнения определенных функций («метки времени»). Часто эти услуги предоставляются с помощью технологии инфраструктуры открытых ключей (ИОК) тем же поставщиком, который выдает сертификаты на основе ИОК для цифровых подписей. Кроме того, к доверительным услугам также относятся услуги электронной зарегистрированной доставки, аутентификации пользователей на веб-сайтах и архивирование.
Закон может содержать общие правила о правовом статусе некоторых или всех доверительных услуг. Он также может предписывать использование определенных услуг для конкретных видов операций.
Специальные положения об использовании доверительных услуг можно также найти в законодательстве, касающемся безбумажной торговли.