Начиная с середины 90-х годов обеспечение юридически значимого электронного документооборота в АИС осуществляется, в частности, на основе применения в качестве реквизита электронных документов так называемых электронных подписей как средства удостоверения подлинности (авторства), аутентичности и целостности электронных документов.
На сегодня в мировой практике исторически сложились три основные модели правового регулирования в сфере электронного документооборота и электронных подписей.
Первая модель принята в США. Правительство США предоставляет право гражданам и юридическим лицам самостоятельно регулировать внутренние процессы в сфере электронной коммерции. Данная модель основана на принципах «бизнес-выбора», концепции свободы заключения контракта и использования при этом любой конкретной информационно-компьютерной технологии. Выбор любой технологии подписи электронных документов сторон, участвующих в сделке, признается законным. Стороны сами могут решить – использовать или не использовать электронные подписи, причем они не обязаны обращаться к третьей, независимой стороне, удостоверяющей соответствующие сертификаты ключей подписей.
Вторая модель принята в Европейском Союзе. Базовый принцип соответствующей Директивы[15] об электронной подписи – система лицензирования не должна быть обязательной. Каждая страна-член Евросоюза может создавать структуры, регулирующие процесс добровольного лицензирования, для того, чтобы сформировать у клиентов или потенциальных деловых партнеров авторитет и доверие к организации, предоставляющей услуги в сфере применения электронных подписей. Правительства должны обеспечить функционирование соответствующей системы надзора за деятельностью поставщиков услуг по сертификации, которые созданы на территории этой страны и осуществляют выдачу квалификационных сертификатов населению.
Третья модель принята в России и в Индии, где законы об электронной подписи жестко регулируют рынок услуг в данной сфере путем лицензирования деятельности по предоставлению таких услуг. Базовый принцип модели – признание электронной подписи действенной и необходимой везде, в том числе и на международном уровне. Данный подход лишен достаточной гибкости и практически не способен своевременно реагировать на меняющиеся условия и механизмы развития информационной сферы общественно-производственной деятельности. В частности, в Индии первая лицензия на деятельность по предоставлению услуг в области электронной подписи была выдана через три года после принятия соответствующего закона. В итоге электронная торговля была «заморожена», а в гражданских судах Индии скопилось около 40 млн. дел по поводу споров по контрактам.
Кроме того, по степени детализации требований к самой электронной подписи также можно выделить три различных подхода.
Первый подход (самый общий) основан на признании в отношении электронной подписи тех же требований, что и в отношении собственноручной, включая уникальность, возможность верификации подписи и «подконтрольность» использующему ее лицу.
Второй подход дополнительно предполагает, что электронная подпись должна быть связана с передаваемыми данными так, что если они изменяются, то электронная подпись становится недействительной.
Третий подход выдвигает наиболее детализированные требования к электронной подписи, в частности предусматривает использование специальной технологии асимметричных информационно-криптографических преобразований электронных документов. Такой тип электронной подписи называется «электронной цифровой подписью» или «электронно-цифровой подписью» (ЭЦП)[16].
Выбор конкретного подхода при разработке соответствующего национального законодательства обусловливается главным образом сложившейся социально-политической обстановкой в стране, когда поиск наиболее приемлемого средства безопасного обмена документированной информацией либо доверяется рынку электронной коммерции, либо осуществляется централизованно с целью защиты агентов складывающегося рынка от вероятных конфликтных ситуаций.
В модельных законах ЮНСИТРАЛ (UNCITRAL – Комиссии по международному торговому праву ООН) «Об электронной коммерции» 1996 года и «Об электронной подписи» 2001 года правовой режим электронного обмена данными в международных коммерческих операциях представлен в виде примерного свода правил.
Европейское законодательство более жестко подходит к вопросу о том, какой должна быть электронная подпись. Соответствующая Директива Евросоюза об электронной подписи как базовый европейский закон предписывает использовать второй подход, который и был использован, в частности, при принятии национальных законов в Австрии, Великобритании, Германии и др.
Проблемы правового регулирования отношений, предусматривающих использование электронной подписи, по существу, связаны с регулированием применения технологий электронного документооборота. Каждая страна должна решить для себя, насколько конкретная технология надежна, как велика вероятность искажения воли стороны в электронном документе, кто обладает правом решать в каждом конкретном случае вопрос об аутентичности и на основании каких критериев.
В России Закон предусматривает только один вид электронной подписи – именно ЭЦП, жестко регламентируя деятельность по предоставлению услуг в сфере электронных отношений и предусматривая обязательное лицензирование соответствующей деятельности, а также применение стандартизированных алгоритмов ЭЦП.Закон предусматривает различные правовые режимы для информационных систем общего пользования и корпоративных информационных систем. При корпоративном режиме регламентация ЭЦП формально передается на усмотрение участников системы, однако требуется заключение предварительных соглашений о регламенте электронного документооборота и процедурах разрешения конфликтов, предполагается физический обмен магнитными носителями с ключами ЭЦП и сертификатами ключей. Законом также предусмотрено создание удостоверяющих центров для информационных систем общего пользования, но, во-первых, на практике оперативность создания таких структур оставляет желать лучшего, во-вторых, исключается какая-либо конкуренция между ними из-за необходимости предварительного согласования, получения разрешения на соответствующую деятельность у уполномоченного органа и ее обязательного лицензирования; в-третьих, исключается возможность привлечения физических лиц и др.
В отличие от Директивы Евросоюза в отечественном Законе об ЭЦП также не предусмотрена, в частности, возможность свободного выбора участниками корпоративной АИС не только вида удостоверения подлинности документа, но и средств, его создающих и верифицирующих. Это обстоятельство практически исключает эффективные электронные отношения граждан и юридических лиц РФ с иностранными партнерами.
Более либеральный и гибкий Закон «Об электронной цифровой подписи», предусматривающий другие виды электронной подписи, принят в Украине. Данный закон базируется на общей концепции соответствующей Директивы ЕС, рекомендующей единые правила признания юридической силы электронной подписи и добровольную аккредитацию центров сертификации ключей. Определение термина «электронная подпись» по уровню детализации выдвигаемых к электронной подписи требований разделено на два понятия. Собственно электронная подпись, которая представляет собой данные в электронной форме, присоединяемые к другим данным или логически с ними объединенные, предназначенные для идентификации подписавшего лица. Второе определение – ЭЦП, конкретизирующая используемую технологию и определяемая как результат определенного криптографического преобразования некоторого набора данных, который присоединяется к этому набору данных или логически с ним объединяется и дает возможность подтвердить целостность набора данных и идентифицировать подписавшее лицо.