Субъекты электронного документооборота в банковской сфере

(Халиков Р. О.) («Информационное право», 2006, N 2)

СУБЪЕКТЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА В БАНКОВСКОЙ СФЕРЕ

Р. О. ХАЛИКОВ

Халиков Р. О., КИТ Финанс Инвестиционный банк (ОАО).

Вопросам применения электронной цифровой подписи (далее — ЭЦП) в юридической науке уделяется повышенное внимание. Но до настоящего времени многие вопросы остаются неясными и вызывают неоднозначное толкование. Значительное количество операций с ЭЦП совершается на рынке финансовых услуг, в банковской сфере. В настоящей статье приводится правовой анализ участников отношений по применению ЭЦП в банковской сфере и особенности в субъектом составе. Анализ Федерального закона от 10 января 2002 г. N 1-ФЗ «Об электронной цифровой подписи» <*> (далее — Закон «Об ЭЦП») позволяет сделать вывод о том, что основными участниками отношений по применению электронной цифровой подписи выступают три субъекта: владелец сертификата ключа подписи, пользователь сертификата ключа подписи и удостоверяющий центр (далее — УЦ). Всего же насчитывается 11 названий субъектов, включенных в сферу действия Закона <**>. ——————————— <*> Российская газета. 2002. 12 янв. <**> Бачило И. В., Семилетов С. И. Комментарий к Федеральному закону «Об электронной цифровой подписи» // Правовая система «КонсультантПлюс».

В числе основных понятий, которые закреплены в ст. 3 и используются в Законе «Об ЭЦП», дано определение только двух субъектов: владелец сертификата ключа подписи и пользователь сертификата ключа подписи. Под владельцем сертификата ключа подписи подразумевается физическое лицо, на имя которого УЦ выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом ЭЦП, позволяющим с помощью средств ЭЦП создавать свою ЭЦП в электронных документах (подписывать электронные документы). Пользователь сертификата ключа подписи — «физическое лицо, использующее полученные в УЦ сведения о сертификате ключа подписи для проверки принадлежности ЭЦП владельцу сертификата ключа подписи». Необходимо учитывать, что согласно определению ЭЦП, закрепленному в Законе «Об ЭЦП», ЭЦП может принадлежать только физическому лицу. Это несколько ограничивает сферу применения ЭЦП и вносит ряд неудобств в применении. Согласно Федеральному закону от 21 ноября 1996 г. N 129-ФЗ «О бухгалтерском учете» <*> подпись главного бухгалтера необходима на всех документах финансовых организаций. В связи с этим для полноценного применения ЭЦП в хозяйственном обороте в одной организации необходимо использовать как минимум две ЭЦП. Это приводит к усложнению процедуры подписания электронного документа ЭЦП. Организация, желающая использовать ЭЦП в своей деятельности, заключает соответствующий договор с удостоверяющим центром, однако владельцем сертификата ключа подписи будет лицо, уполномоченное подписывать документы. На практике в большинстве случаев техническими средствами генерации ЭЦП пользуется не должностное лицо юридического лица, уполномоченное на основании устава подписывать документы и заключать сделки, а сотрудник компании. Таким образом, с целью соответствия норме закона, возникает дополнительная задача по упорядочению отношений, возникающих при подписании электронного документа ЭЦП не уполномоченным на совершение сделок должностным лицом, а рядовым сотрудником. При увольнении уполномоченного сотрудника возникает необходимость повторить всю процедуру получения сертификата ключа подписи. В то же время имеется риск злоупотребления владельцев ЭЦП, когда они, уже перестав занимать должность в корпорации, отправляют электронные документы, подписав их ЭЦП и представляясь уполномоченными лицами корпорации. В гражданско-правовых отношениях, где одной стороной выступает юридическое лицо, не имеет особого значения, кто будет осуществлять проверку принадлежности ЭЦП владельцу сертификата ключа подписи: либо сотрудник компании, либо сама компания, — так как всю ответственность в любом случае будет нести юридическое лицо. ——————————— <*> Российская газета. 1996. 28 нояб.

Положение Закона «Об ЭЦП», устанавливающее только физическое лицо в качестве единственного владельца сертификата ключа подписи, является сдерживающим фактором в процессе использования ЭЦП. Рекомендуется внести в Закон «Об ЭЦП» изменения, расширяющие перечень лиц, способных выступать в качестве владельцев сертификата ключа подписи. Одной из распространенных сфер применения ЭЦП является область банковского обслуживания, где широко используется система дистанционного управления расчетным счетом через Интернет «Банк — Клиент». Согласно Положению ЦБ РФ от 3 октября 2002 г. N 2-П «О безналичных расчетах в Российской Федерации» <*> и Гражданскому кодексу РФ все платежные документы должны быть подписаны руководителем и главным бухгалтером. В подавляющем случае на практике используется только одна ЭЦП для передачи распоряжений банку. ——————————— <*> Вестник Банка России. 2002. N 74.

Предложение инкорпорировать в российскую юридическую науку и практику понятие «корпоративная электронная цифровая подпись» не у всех вызывает положительные эмоции. Так, К. Б. Леонтьев считает подход, по которому ЭЦП может принадлежать юридическому лицу, «очень неудачным», поскольку при этом возрастает вероятность неавторизированного использования ЭЦП юридического лица, поэтому сложно установить конкретное физическое лицо, осуществившее подписание электронного документа <*>. ——————————— <*> Леонтьев К. Б. Комментарий к Федеральному закону «Об электронной цифровой подписи» (постатейный). М.: ООО «ТК Велби», 2003. С. 23.

Н. И. Соловяненко, ратуя за возможность возникновения гражданско-правовых отношений по поводу сертификата ключа подписи между удостоверяющим центром и юридическим лицом, отмечает, что в связи с этим удостоверяющий центр не гарантирует аннулирование сертификата ключа подписи, например, при досрочном прекращении полномочий единоличного исполнительного органа <*>. ——————————— <*> Соловяненко Н. И. Комментарий к Федеральному закону «Об электронной цифровой подписи» // Приложение к журналу «Хозяйство и право». 2003. N 5; Соловяненко Н. И. Заключение договоров с использованием электронных документов в системах электронной торговли // Хозяйство и право. 2005. N 3. С. 50 — 59.

А. В. Шараев предлагает выделить двух субъектов — владельца ЭЦП (юридическое лицо) и пользователя ЭЦП (уполномоченное лицо). Представляется, что в таком случае владельцем ЭЦП может выступать как физическое, так и юридическое лицо <*>. В последнем варианте руководитель организации (владелец ЭЦП) должен предоставить контрагенту (например, банку) список лиц, уполномоченных использовать ЭЦП при подписании электронных документов. Необходимо отметить, данная практика в настоящее время имеет широкое распространение, несмотря на отсутствие законодательного разрешения. ——————————— <*> Шамраев А. В. Правовое регулирование информационных технологий (анализ проблем и основных документов). Версия 1.0. М.: Статут, Интертех, БДЦ-пресс, 2003. С. 57.

В банковской сфере отношения по использованию ЭЦП регулируются также и актами Центрального банка РФ. Положение Центрального банка России от 12 марта 1998 г. N 20-П (с изменениями от 11 апреля 2000 г.) «О правилах обмена электронными сообщениями между Банком России, кредитными организациями (филиалами) и другими клиентами Банка Росси при осуществлении расчетов через расчетную сеть Банка России» <*> (далее — Положение N 20-П) и является основным регулирующим документом. ——————————— <*> Вестник Банка России. 2000. N 22.

Особенность Положения N 20-П заключается в том, что, как и в Положении N 17-П, владельцем ЭЦП может быть сам Банк России (его учреждение), Вычислительный центр ЦБР, кредитная организация (филиал) или другой клиент Банка России, ЭЦП которого зарегистрирована в порядке, установленном договором между Банком России и его клиентом. Положение упрощает порядок применения ЭЦП в КИС, не вводя ограничения и дополнительные конструкции в виде «оператора ЭЦП» или определяя в качестве владельца ЭЦП уполномоченное лицо клиента Банка России на подписание ЭД от имени клиента. Единственным требованием является назначение коммерческим банком лиц, ответственных за осуществление обмена электронными документами с Центральным банком РФ. Для проверки (подтверждения подлинности) ЭЦП проверяющая сторона должна получить открытый ключ и удостовериться в том, что открытый ключ соответствует закрытому ключу подписавшей стороны. Для того чтобы обеспечить действительные гарантии идентификации каждой стороны при помощи конкретной пары ключей, одно или несколько третьих лиц, которым обе стороны доверяют, должны связать опознаваемое лицо одного контрагента по сделке с парой ключей, которые создают ЭЦП в электронном документе, получаемом другим контрагентом, и наоборот. Это доверенное лицо в Законе «Об ЭЦП» называется удостоверяющим центром (ст. 8) <*>. Пользователь сертификата ключа подписи получает необходимую для идентификации владельца сертификата ключа подписи информацию от УЦ в виде сертификата ключа подписи и тем самым он получает в пользование открытый ключ. ——————————— <*> Соловяненко Н. И. Комментарий к Федеральному закону «Об электронной цифровой подписи» // Приложение к журналу «Хозяйство и право». 2003. N 5. С. 18, 19.

К сожалению, удостоверяющий центр не имеет собственной дефиниции в Законе, несмотря на то что УЦ — одно из основных используемых понятий в Законе «Об ЭЦП». Фактически УЦ получает определение в п. 1 ст. 9 Закона «Об ЭЦП» посредством перечисления видов деятельности, которые он осуществляет <*>. ——————————— <*> Там же.

Согласно указанной статье УЦ: — изготавливает сертификаты ключей; приостанавливает и возобновляет действие сертификатов ключей подписей, а также аннулирует их; — создает ключи ЭЦП по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа ЭЦП; — ведет реестр сертификатов ключей подписей, обеспечивает его актуальность и возможность свободного доступа к нему участников информационных систем; — выдает сертификаты ключей подписей с информацией об их действии. Таким образом, удостоверяющий центр можно определить как юридическое лицо, осуществляющее деятельность по выдаче сертификатов ключей подписей, ведению реестра, а также оказывающее иные услуги, связанные с изготовлением электронной цифровой подписи. Необходимо разграничивать УЦ систем общего пользования и корпоративных систем. Ввиду того что банковские отношения в большинстве своем развиваются в рамках корпоративных систем, необходимо определить статус УЦ корпоративной информационной системы. Диспозиция статуса УЦ корпоративной информационной системы зафиксирована в п. 1 ст. 8 Закона «Об ЭЦП». Владелец корпоративной системы или стороны самостоятельно определяют правовой статус УЦ и критерии, которым он должен соответствовать. Особенность субъектного состава по применению ЭЦП в банковских отношениях заключается в том, что банк, являясь собственником корпоративной информационной системы, выступает также и в качестве УЦ, и в качестве пользователя сертификата ключа подписи. Однако на практике встречаются случаи, когда банк и клиент банка пользуются услугами стороннего УЦ. Банк и клиент (он же владелец сертификата ключа подписи) заключают договор с УЦ об оказании услуги, в соответствии с которым УЦ получает электронные документы от клиентов банка, проверяет на отсутствие искажений данных, целостность и идентифицирует владельца сертификата ключа подписи. После положительной проверки электронный документ направляется в банк. Одним из основных и первых актов Центрального банка РФ, которые регулируют отношения по применению аналогов собственноручных подписей и, следовательно, ЭЦП как аналога собственноручной подписи, является Временное положение Банка России от 10 февраля 1998 г. N 17-П «О порядке приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи, при проведении безналичных расчетов кредитными организациями» <*> (далее — Положение 17-П). ——————————— <*> Вестник Банка России. 1998. N 10.

В Положении 17-П функции удостоверяющего центра осуществляет Администрация документооборота. Примечательно, что Администрацией документооборота может быть не только юридическое лицо, но подразделение юридического лица, что более соответствует особенности отношений между кредитной организацией и его клиентами, которые имеют место быть в рамках корпоративной информационной системы. На взгляд автора, представляется излишним требование Закона «Об ЭЦП», установленное в п. 1 ст. 10, к УЦ особенно в банковской сфере, где в качестве УЦ выступают коммерческие банки. По смыслу Закона удостоверяющие центры до начала использования ЭЦП уполномоченного лица УЦ (например, для заверения выдаваемых в электронной форме сертификатов ключей подписи) обязан предоставить в уполномоченный федеральный орган исполнительной власти сертификат ключа подписи данного лица. Причем сертификат ключа подписи уполномоченного лица УЦ должен быть оформлен на бумажном носителе и скреплен подписями уполномоченного лица, руководителя и печатью УЦ. Предлагается исключить данное требование для УЦ корпоративных информационных систем либо при дать данной обязанности уведомительный характер путем внесения дополнений в п. 1 ст. 10 Закона «Об ЭЦП» абзацем следующего содержания: «Удостоверяющий центр корпоративной информационной системы обязан предоставить сертификат ключа подписи уполномоченного лица удостоверяющего центра для заверения от имени удостоверяющего центра сертификатов ключей подписей в уполномоченный федеральный орган исполнительной власти не позднее 15 дней со дня начала использования сертификата ключа подписи уполномоченного лица удостоверяющего центра». В связи с этим также необходимо дополнить п. 3 данной статьи после слов «удостоверяющих центров» словами «информационных систем общего пользования». Закон «Об ЭЦП» устанавливает обязанности УЦ по отношению к владельцу сертификата ключа подписи, но упускает из вида немаловажное обстоятельство. Закон умалчивает об ответственности. Согласно Директиве Европейского парламента и Совета N 1999/93/ЕС от 13 декабря 1999 г. «О правовых основах Сообщества для электронных подписей» <*> 12 государств-участников обязаны предусмотреть ответственность для УЦ за ущерб, причиненный любой организации, юридическому или физическому лицу, которые разумно полагаются на данный сертификат, за точность, действительность сертификата, если только УЦ не докажет, что не действовало небрежно. Также УЦ не несут ответственность за ущерб, возникший в результате превышения ограничений при применении ЭЦП, указанных в сертификате. ——————————— <*> См.: http://www. ict. etsi. org/EESSI/Documents/e-sign-directive. pdf.

Необходимо учитывать, что сертификат ключа может быть выдан удостоверяющим центром как в бумажной форме, так и в электронной (согласно п. 4 ст. 6 Закона «Об ЭЦП»). При выдаче сертификата в бумажной форме вопросов и затруднений не возникает. Но при выдаче сертификата в электронной форме может возникнуть ситуация, в которой пользователь сертификата не будет полностью уверен в соответствии полученного сертификата его запросу. В случае выдачи сертификата ключа подписи в форме электронного документа этот сертификат должен быть подписан ЭЦП уполномоченного лица удостоверяющего центра. Но в данном случае для того, чтобы быть полностью уверенным в полученном сертификате ключа ЭЦП, пользователь должен владеть сертификатом ключа ЭЦП уполномоченного лица удостоверяющего центра. Таким образом, в случае отсутствия отношений между пользователем сертификата и удостоверяющим центром обойтись без бумажной формы сертификата не представляется возможным. При доверительных отношениях между УЦ и пользователем сертификата ключа подписи либо продолжительных отношениях получить сертификат ключа подписи возможно без риска и дистанционно, в электронной форме. Однако владельцу сертификат ключа подписи может быть выдан только на бумажном носителе, на бланке УЦ, вне зависимости от наличия предыдущих отношений или открытого ключа подписи удостоверяющего центра у владельца, а также ограничивается передача удостоверяющим центром владельцу сертификата хоть и лично, но в электронной форме (например, на дискете). Таким образом, первоначальная предпосылка возникновения института ЭЦП, обмен сообщений, заключение договоров в электронной форме не принимаются Законом «Об ЭЦП» в расчет. Для начала пользования ЭЦП владелец сертификата ключа подписи должен лично посетить УЦ либо же в случае, если владелец проживает в другой местности, потратить время и средства на пересылку и подписание сертификатов ключа подписи посредством почтовой, курьерской связи. Предлагается для корпоративных информационных систем исключить требования об обязательном оформлении сертификата ключа подписи для предоставления его владельцу, ограничившись оформлением сертификата ключа подписи в электронной форме, что зачастую и происходит на практике. При этом оформление сертификата ключа подписи на бумажном носителе возможно по договоренности сторон. Аргументом для возможности оформления сертификата ключа подписи только в электронной форме в корпоративных информационных системах (в частности, в банковских системах) служит дополнительно и то обстоятельство, заключающееся в специфике отношений между УЦ и владельцем в корпоративных информационных системах, что владелец системы (банк) одновременно выступает и как УЦ, и как пользователь сертификата, который получает сообщения, подписанные ЭЦП. В силу данного обстоятельства УЦ (пользователь), направляя созданный им же сертификат владельцу сертификата ключа подписи средства ЭЦП, имеет все возможности для осуществления в последующем процедуры подтверждения подлинности ЭЦП. В связи с этим предлагается дополнить п. 3 ст. 9 Закона «Об ЭЦП» абзацем 2 следующего содержания: «При изготовлении сертификатов ключей подписей для использования в корпоративной информационной системе допускается их изготовление в электронной форме с обязательным удостоверением электронной цифровой подписью уполномоченного лица удостоверяющего центра».

——————————————————————