11

Размещено на http://www.allbest.ru/

Національний університет "Одеська юридична академія"

ЕЦП та інші ідентифікатори особи як чинники гармонізації українського законодавства із законодавством Європейського Союзу

Давидова І.В.

Анотація

Стаття присвячена аналізу діючого законодавства України щодо ідентифікації особи в світлі гармонізації українського законодавства із законодавством Європейського Союзу. Розглядаються питання впровадження електронного підпису, електронного цифрового підпису, електронного підпису одноразовим ідентифікатором, ГО-карток та ін., перспективи їх використання. Проаналізовано діюче законодавство з даного питання. Приділена увага аналізу криптографічного захисту електронного цифрового підпису. Зроблено висновок про те, що в українському правовому полі досить швидко з'являються електронні ідентифікатори, що пов'язано з розвитком інформаційних технологій, активній участі держави в цьому процесі. Ключові слова: ідентифікація особи, цифровий підпис, електронний цифровий підпис, електронний ключ, криптографічний захист.

Постановка проблеми

Розвиток ІТ дозволяє створювати нові технологічні рішення та інструменти, які спрощують наше життя: як у виконанні простих буденних задач, так і у проведенні надзвичайно складних обчислень, моделювань та ін. Удосконалюються і елементарні процеси у здійсненні базових правовідносин, зокрема й у сфері ідентифікації.

Особливого значення набувають і питання гармонізації українського законодавства із законодавством Європейського Союзу, які є сьогодні вельми актуальними у всіх сферах нашого життя. Не є виключенням і питання щодо ідентифікації особи.

Аналіз останніх досліджень і публікацій

Аналіз вітчизняних наукових публікацій в даній сфері є досить обмеженим, однак можна відзначити науковців, які досліджують питання в даній сфері. Це, зокрема: К.С. Архіпова, Н.Ю. Голубєва, М. Горкуша, Д. Кирилюк, С.Ф. Левшаков, О.В. Мельниченко, Ю.Я. Самагальська, Н.Ю. Філатова, Є.О. Харитонов, Ю. Хілінський, А. Шпірко та ін.

Виділення невирішених раніше частин загальної проблеми. В літературі звертається увага на аналіз законодавства та практики застосування ЕЦП та інших ідентифікаторів особи, однак не приділяється увага комплексному дослідженню ЕЦП та інших ідентифікаторів особи як необхідних складових гармонізації українського законодавства із законодавством Європейського Союзу.

Метою статті є аналіз діючого законодавства України щодо ідентифікації особи в світлі гармонізації українського законодавства із законодавством Європейського Союзу, зокрема, впровадження електронного підпису, електронного цифрового підпису, електронного підпису одноразовим ідентифікатором, ГО-карток та ін., перспективи їх використання.

Виклад основного матеріалу. Однією з умов дійсності правочину є підписання його стороною (сторонами). Частина 3 ст. 207 УК України передбачає можливість використання при вчиненні правочинів факсимільного відтворення підпису за допомогою засобів механічного або іншого копіювання, електронно-числового підпису або іншого аналога власноручного підпису у випадках, встановлених законом, іншими актами цивільного законодавства, або за письмовою згодою сторін, у якій мають міститися зразки відповідного аналога їхніх власноручних підписів.

Отже, положення діючого законодавства дають можливість говорити про те, що використання ідентифікації, як інструменту встановлення особи, залишається необхідним при здійсненні відповідних правовідносин в електронній площині. Тому існує практична необхідність існування дієвої системи, яка б чітко надавала дозвіл на вчинення певних дій, отримання інформації саме тій особі, яка має право на отримання такої інформації, або вчинення відповідних правочинів. В даному випадку неможливо обійтися без електронних засобів ідентифікації, які мають прив'язку до особи (яку треба ідентифікувати за абсолютно різними характеристиками).

Однак, не достатньо розробити та застосовувати на практиці такі електронні засоби ідентифікації, має також існувати правове закріплення їх функціонування та правовий захист, яке сьогодні в українському законодавстві не є досконалі та потребують доопрацювання та оновлення. Ці питання є особливо актуальними, зважаючи на новизну у технічному застосуванні та необхідність врегулювання процесів встановлення особи, адже це найголовніша стадія здійснення будь-якому правочину.

Базовим законом в сфері ідентифікації осіб у електронній площині є названий Закон України "Про електронну комерцію" [1], у ст.12 якого зазначається, що коли відповідно до акта цивільного законодавства або за домовленістю сторін електронний правочин має бути підписаний сторонами, моментом його підписання є використання: електронного підпису або електронного цифрового підпису відповідно до Закону України "Про електронний цифровий підпис" [2], за умови використання засобу електронного цифрового підпису усіма сторонами електронного правочину, електронного підпису одноразовим ідентифікатором, визначеним цим Законом; аналога власноручного підпису (факсимільного відтворення підпису за допомогою засобів механічного або іншого копіювання, іншого аналога власноручного підпису) за письмовою згодою сторін, у якій мають міститися зразки відповідних аналогів власноручних підписів.

Закон України "Про електронний цифровий підпис" було розроблено з метою гармонізації українського законодавства із законодавством Європейського Союзу - Директивою 1999/93/ЄС Європейського Парламенту та Ради від 13 грудня 1999 року про рамки Співтовариства для електронних цифрових підписів [3].

Отже, законодавець увів до електронної площини електронний підпис, електронний цифровий підпис (далі - ЕЦП), паспорт громадянина України у формі карти з безконтактним електронним носієм (та електронним цифровим підписом), а також, нещодавно, нормативно визначений регулятором - Національним банком України Bank ID. Законом України "Про електронну комерцію" також було введено "підпис одноразовим ідентифікатором" та "аналог власноручного підпису". У дослідній експлуатації зараз знаходиться розробка ще одного ідентифікатора - Mobile ID, однак, законодавчо, він залишається неврегульованим, тому його повноцінне використання поки що неможливе.

Відповідно до ст.1 Закону України "Про електронний цифровий підпис" електронним підписом є дані в електронній формі, які додаються до інших електронних даних або логічно з ними пов'язані та призначені для ідентифікації підписувача цих даних; а електронним цифровим підписом є вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача.

Зважаючи на зазначене, важливу роль відіграє криптографічний захист інформації, під яким розуміють вид захисту, що реалізується за допомогою перетворень інформації з використанням спеціальних даних (ключових даних) з метою приховування (або відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства тощо.

Зазначимо, що електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа [2]. Це відповідає загальним уявленням про технологію відкритого та особистого (закритого) ключів.

Кожен ключ - це набір символів або файл, що зберігається, наприклад, на usb-flash накопичувачі. Різниця в тому, що особистий ключ - абсолютно секретний і зберігається у свого власника (особи, яка підписує), а відкритий ключ - публічний. Крім власника, він може бути доступний усім учасникам, з якими той збирається обмінюватися інформацією, використовуючи ЕЦП. На відкритий ключ центр сертифікації ключів (далі - ЦСК) видає сертифікат, який підтверджує, що ключ дійсно належить його власнику [4].

Відповідно до ст.3 Закону України "Про електронний цифровий підпис" ЕЦП прирівнюється до власноручного підпису (печатки) у разі, якщо: його підтверджено з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису; під час перевірки використовувався посилений сертифікат ключа, чинний на момент накладення електронного цифрового підпису; особистий ключ підписувача відповідає відкритому ключу, зазначеному у сертифікаті.

Що стосується використання електронного підпису, то тут основна особливість полягає в тому, що при його застосуванні в документообігу не обов'язкова наявність третьої сторони, як у випадку з використанням ЕЦП, де присутній інший суб'єкт - центр сертифікації ключів, відповідальний за справжність підпису в документі, підписаному за допомоги засобів ЕЦП, які ним постачаються.

Водночас, питання забезпечення довіри до того чи іншого ЦСК, який надає послуги ЕЦП вирішується наступним чином: кожен центр зобов'язаний пройти процедуру реєстрації, визначену законодавством, та засвідчити свій відкритий ключ у центральному засвідчувальному органі (далі - ЦЗО). В такому випадку, при перевірці сертифікату відкритого ключа підписанта, ми також і побачимо, що ЦСК, в якому було отримано ЕЦП для підписання документу, засвідчив свій відкритий ключ у ЦЗО, а отже йому можна довіряти, як і довіряти тому, що документ підписала зазначена в сертифікаті особа [5, с.80].

ЕЦП досить активно використовують у своїй професійній діяльності, згідно законів України "Про державну реєстрацію речових прав на нерухоме майно та їх обтяжень" [6], "Про державну реєстрацію юридичних осіб, фізичних осіб - підприємців та громадських формувань" [7], державні реєстратори речових прав на нерухоме майно та державні реєстратори юридичних осіб, фізичних осіб-підприємців, нотаріуси, суди тощо. Крім того, Закон України "Про внесення змін до деяких законодавчих актів України щодо вдосконалення державної реєстрації прав на нерухоме майно та захисту прав власності" [8] зобов'язав державних реєстраторів, нотаріусів використовувати лише захищені носії ключової інформації особистих ключів типу "Кристал-1", "Алмаз-1К", "8ееигеТокеп-337М", "8ееигеТокеп-337К", що підвищують захищеність ЕЦП.

Характерно, що відповідно до положень Закону України "Про електронний цифровий підпис", електронний підпис не може бути визнаний недійсним лише через те, що він має електронну форму або не ґрунтується на посиленому сертифікаті ключа.

Аналіз законодавства дає підстави для висновку про те, що використовувати електронний підпис без супутнього підтвердження та визначення правовідносин, в яких він може використовуватись, неможливо. На користь цього висновку свідчить і судова практика.

Так, рішенням Вищого господарського суду України від 12.10.2016 р. по справі № 916/16/16 за касаційною скаргою ПАБ КБ "ПриватБанк" на рішення Господарського суду Одеської області та Одеського апеляційного господарського суду за позовом ПАТ КБ "ПриватБанк" до ФОП про стягнення заборгованості встановлено, що позивачем не надано будь-яких доказів того, що саме ФОП підписано електронним цифровим підписом заяву про приєднання до умов по отриманню кредиту, викладених в Умовах і Правилах надання банківських послуг, Тарифах ПриватБанку, оскільки позивачем не надано ані відомості про сертифікацію ключа ЕЦП відповідача, ані відомості про особистий ключ підписувача, який має відповідати відкритому ключу, зазначеному у сертифікаті. При цьому, відповідач заперечує факт підписання даної заяви.

Також, суди попередніх інстанцій дійшли правомірного висновку про те, що ПАТ КБ "ПриватБанк" не доведено факту укладення між сторонами договору банківського обслуговування, що в свою чергу свідчить про те, що сторонами не було погоджено розмір та умови надання і повернення грошових коштів. Водночас, правовою підставою позову є саме надання відповідачу кредиту на умовах договору, укладеного відповідно до "Умов та правил надання банківських послуг", в той час як позивачем не доведено підставність користування відповідачем кредитними коштами банку [9].

Крім того, для застосування електронного підпису необхідно дотримання додаткових умов, встановлених законом або іншими актами цивільного законодавства: письмова згода сторін, у якій мають міститися зразки відповідного аналога їхніх власноручних підписів; використання засобу електронного цифрового підпису здійснюється усіма сторонами електронного правочину (ст.12 Закону України "Про електронну комерцію").

Таким чином, електронний підпис, сформований звичайним графічним відтворенням, не може бути визнаний повноцінним та легальним аналогом власноручного підпису, попри те, що сама електронна його природа, або відсутність посиленого сертифікату ключа не можуть бути підставою для визнання його недійсним. Використання електронного підпису, за умов такого стану законодавчого регулювання, є досить складним, але інакше неможливо сформувати підстави для довіри до електронного підпису.

Однак технологія електронного підпису продовжує динамічно розвиватись. Наразі вже працюють сервіси, які допомагають встановити додаткові підстави довіри до особи, яка поставила на документі свій електронний підпис. В такому випадку, справжність електронного підпису перевіряється іншими сторонами правочину за раніше відомими ідентифікаторами, у відповідності до яких вони можуть ототожнити отриманий підпис з особою, яка вказана, за набором даних, доданих провайдером до електронного підпису.

Приміром, така перевірка може відбуватись за номером телефону або електронною адресою, яка вказується при реєстрації в системі надава - ча послуги електронного підпису. Обов'язок провайдера - перевірити за допомогою спеціального посилання-активації профілю та одноразового смс-паролю справжність вказаних додаткових ідентифікаторів, а також їх належність особі, яка створила акаунт в системі.

Проте, відповідний ризик компрометації електронного підпису усе ж залишається, хоча і складно уявити одночасний несанкціонований доступ і до електронної пошти особи, і до мобільного телефону, попри те, що окремі сервіси реєструють користувачів у системах надання електронних підписів виключно на основі вказаної при реєстрації електронної пошти [10].

Ще одним введеним у дію електронним ідентифікатором в українському правовому полі на даний час є електронний підпис одноразовим ідентифікатором [11]. У Законі електронний підпис одноразовим ідентифікатором визначено як дані в електронній формі у вигляді алфавітно-цифрової послідовності, що додаються до інших електронних даних особою, яка прийняла пропозицію (оферту) укласти електронний договір, та надсилаються іншій стороні цього договору [1].

Отже, виникає ситуація, коли особі, що прийняла оферту, на етапі підтвердження укладання відповідного електронного договору, надсилається одноразовий ідентифікатор, який згодом вводиться нею для підтвердження укладання такого договору. Такий спосіб здається цілком прийнятним, адже відбувається і перевірка контактного номеру, і встановлюється сам факт волевиявлення з приводу укладання такого договору.

Проте, в загальному ланцюгу забезпечення чинності договору, обов'язок ідентифікації покладається на самого акцептанта - замовника товарів чи послуг. Такий висновок можна зробити на основі частини 8 ст.11 Закону, в якій зазначається, що у разі, коли укладення електронного договору відбувається в інформаційно-телекомунікаційній системі суб'єкта електронної комерції, для прийняття пропозиції укласти такий договір особа має ідентифікуватися в такій системі та надати відповідь про прийняття пропозиції [1]. Іншими словами, йдеться про реєстрацію на сайті продавця із зазначенням відповідних ідентифікуючих даних, необхідних для укладання електронного договору, зокрема ім'я та прізвища, номера мобільного телефону (в контексті використання електронного підпису електронним ідентифікатором), e-mail та інших даних.

Однак магазин, все одно, не може перевірити надані параметри для ідентифікації. Адже повідомлення з одноразовим ідентифікатором буде надсилатись на вказаний особою мобільний телефон без встановлення особи. По суті, відбуватиметься лише підтвердження волевиявлення щодо особи із вказаними реєстраційними даними,. Натомість, встановити дійсну належність цих даних зазначеній особі неможливо.

Крім того, в контексті пошуку використання більш безпечного варіанту слід згадати, що існує ще один ідентифікатор, більш універсальний за значенням і такий, що містить в собі той самий електронний цифровий підпис, - картка громадянина, або ж ID-картка, яка в українському законодавстві відображена як паспорт громадянина України у формі картки з безконтактним електронним носієм.

Відповідно до Закону України "Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус", а саме - частина 7 ст.21, до такого паспорту буде вноситись наступна інформація: назва держави; назва документа; ім'я особи; стать; громадянство; дата народження; унікальний номер запису в Реєстрі; номер документа; дата закінчення строку дії документа; дата видачі документа; уповноважений суб'єкт, що видав документ (код); місце народження; відцифрований образ обличчя особи; від - цифрований підпис особи; податковий номер [12].

Разом із тим, хоча видача карток громадянина чи ID-карток вже здійснюється, однак, електронний підпис чи електронний цифровий підпис там не закладено. Таким чином, хоча за анонсами Державної міграційної служби, цифровий підпис, який буде в картці, значно полегшить роботу у процесах встановлення особи, її ідентифікації при здійсненні певних операцій, однак, зважаючи на інформацію, яку матиме документ відповідно до закону, не є зрозумілим, чи це буде технологія звичайного електронного підпису, чи саме ЕЦП [11].

електронний цифровий підпис ідентифікатор

Висновки і пропозиції