Новое в законодательстве об электронном документе: комментарий специалиста (2019)

Архiвы i справаводства. 2019. №1 (121). С. 51–60.

Новое в законодательстве об электронном документе

8 ноября 2018 года был подписан, а 17 ноября опубликован на Национальном правовом Интернет-портале Закон Республики Беларусь «О внесении изменений и дополнений в Закон Республики Беларусь «Об электронном документе и электронной цифровой подписи». Внесенные изменения вступают в силу через три месяца после публикации. К этому моменту Совет Министров Республики Беларусь и Оперативно-аналитический центр при Президенте Республики Беларусь (ОАЦ) должны обеспечить приведение в соответствие с этими  поправками иных актов законодательства Республики Беларусь.

Изменения, внесенные в Закон «Об электронном документе и электронной цифровой подписи» (далее – Закон), касаются следующих вопросов:

уточнено определение электронного документа; исключено понятие «подлинный электронный документ»; введено понятие «подписание электронной цифровой подписью» (далее – ЭЦП); оговорены условия применения документов в электронном виде, удостоверенных без использования сертифицированных средств ЭЦП или с помощью иных, кроме ЭЦП, аналогов собственноручной подписи;

исключено понятие карточки открытого ключа; изменился порядок получения личных ключей, а также порядок распространения открытых ключей проверки ЭЦП и подтверждения их принадлежности владельцам; введено понятие «атрибутный сертификат»;

расширен перечень случаев, в которых применяется ЭЦП; введено понятие «электронная копия документа на бумажном носителе»;

существенно изменены требования к удостоверению формы внешнего представления электронного документа на бумажном носителе;

введено понятие «штамп времени»; уточнены условия, при которых электронный документ и электронная копия документа на бумажном носителе приобретают юридическую силу, а также порядок передачи на архивное хранение электронных документов с истекшим сертификатом открытого ключа;

полномочия органов архивного дела и делопроизводства, государственных архивных учреждений распространены на регулирование деятельности по организации работы с электронными документами;

в качестве одного из условий для признания иностранного сертификата открытого ключа предусмотрено установление доверия к нему доверенной третьей стороной.

Рассмотрим наиболее важные изменения более подробно.

В прежней редакции Закона определение электронного документа звучало кратко: «электронный документ – документ в электронном виде с реквизитами, позволяющими установить его целостность и подлинность». При этом существовало определение подлинного электронного документа. Таковым признавался электронный документ, целостность и подлинность которого подтверждаются с применением сертифицированного средства ЭЦП. Фактически это означало, что электронный документ с ЭЦП, при выработке и проверке которой не применялись сертифицированные средства, нельзя считать подлинным. При этом понятие «подлинность электронного документа» требует, чтобы ЭЦП на электронном документе была действительной, но не содержит упоминания сертифицированных средств.

На практике вполне возможна выработка ЭЦП с помощью средств, не имеющих сертификата соответствия, выданного в Национальной системе подтверждения соответствия Республики Беларусь. Таковые средства, например, имеются в составе популярного во всем мире пакета MicrosoftOfficeи аналогичных пакетов с открытым программным кодом (OpenOffice, LibreOfficeи т.п.). Поправки в Закон уточняют статус документов, подписанных с помощью таких средств. Отныне понятие «подлинный электронный документ» исключено, сохраняется лишь понятие «подлинность», которое осталось в прежней формулировке. Требование о том, что подтверждение целостности и подлинности осуществляется с применением сертифицированных средств ЭЦП, перенесено в определение электронного документа.

Таким образом, вырабатывать и проверять ЭЦП можно и без сертифицированных средств. Это не означает, что удостоверенный таким образом документ нельзя считать подлинным. Его лишь нельзя считать электронным документом в том смысле, как это понятие применяется в Законе.

Во второй главе Закона, посвященной сфере его действия, уже имелась оговорка, что он не распространяется на случаи, когда документ в электронном виде удостоверяется без применения ЭЦП, или при выработке и проверке ЭЦП не сертифицированными средствами.  Из этой оговорки следует, что любой документ в электронном виде может быть удостоверен тремя различными способами: а) с помощью ЭЦП, вырабатываемой и проверяемой сертифицированным средством; б) с помощью такой же ЭЦП, но без применения сертифицированного средства; в) с помощью иных, кроме ЭЦП, аналогов собственноручной подписи. Лишь первый из этих трех способов делает документ в электронном виде собственно электронным документом и распространяет на него действие данного Закона.

Два других способа допустимы, но из прежней версии Закона было неясно, какие правовые нормы действуют в их отношении. Теперь во вторую главу добавлен текст, разъясняющий эту ситуацию: в таких случаях могут действовать иные нормативные правовые акты (в том числе и локальные, если они соответствуют общему пониманию законодательства), дополненные соглашением сторон. Соглашение сторон возможно и в случаях, которые законодательство не оговаривает. Такая норма уже закреплена в статье 161 Гражданского кодекса Республики Беларусь. Теперь она продублирована и в данном Законе.

Еще одно уточнение увязывает процедуру выработки ЭЦП с помощью личного ключа и традиционное для документоведения понятие «подписание документа». Ранее в Законе такая связь отсутствовала. Это давало повод некоторым техническим специалистам заявлять, что электронный документ не подписывается, а «снабжается ЭЦП». Теперь в Законе прямо определено, что выработка ЭЦП означает подписание электронного документа.

Как и в прежней редакции Закона, владельцем личного ключа может быть либо юридическое лицо (организация), либо физическое лицо. Но прежде различия в их статусе не были четко оговорены. На практике в сертификате открытого ключа указывались и реквизиты организации, и паспортные данные ее конкретного сотрудника, наделенного правом подписывать электронные документы. При этом нередко ключом пользовался не один сотрудник, а несколько – например, руководитель и его заместитель, или же от имени руководителя уполномоченный им сотрудник вырабатывал ЭЦП под конкретным документом, т.е. фактически подписывал его. Было не совсем понятно, соблюдается ли при этом требование к владельцу ключа сохранять его в тайне. Поскольку все лица, получавшие доступ к ключу, были сотрудниками организации, являющейся его владельцем, можно было считать, что тайна ключа не выходит за ее пределы. Но, с другой стороны, в сертификате значились данные конкретного сотрудника, а пользовался ключом не только он (а порой даже вовсе не он)!

Поправки в Закон разрешают это противоречие. ЭЦП признается аналогом собственноручной подписи только в случае, если владельцем личного ключа является физическое лицо. Соответственно, в сертификате соответствующего открытого ключа будут указаны только персональные данные владельца, и только он будет нести ответственность за последствия применения личного ключа. Перейдя на работу в другую организацию, этот человек останется владельцем ключа и сможет применять его в новой должности. Что касается его полномочий действовать от имени организации, то теперь для этого предусмотрены две равноправные с юридической точки зрения возможности. 

Во-первых, возможно применение второго личного ключа, владельцем которого является организация. При этом в сертификате указываются ее реквизиты, но не данные конкретного сотрудника. Такой личный ключ является аналогом оттиска печати организации. Другими словами, на электронные документы переносится практика традиционного делопроизводства, когда должностное лицо подписывает документ собственноручной подписью, а для подтверждения своих полномочий ставит оттиск печати. Для носителя, на котором записан личный ключ юридического лица, можно определить место его хранения и ответственность за применение, как это делается в отношении печати. Разница в том, что печать можно беспрепятственно передавать от одного сотрудника к другому – например, при смене руководителя. С личным ключом организации все несколько сложнее. Безопасно «ходить по рукам» он может лишь в том случае, когда носитель обладает высокой степенью защиты, не допуская возможности скопировать записанный на нем ключ. Такие носители имеют и более высокую цену. Если же ключ записан на дешевый, недостаточно защищенный носитель, то при смене работника, ответственного за его применение, такой ключ нужно будет отозвать, а вместо него приобрести новый.

Вторая возможность создается с появлением атрибутного сертификата. Он будет содержать примерно те же сведения, что и применяемые сейчас сертификаты открытого ключа: личные данные конкретного работника и реквизиты организации. Такой атрибутный сертификат приобретается при назначении работника на должность, дающую ему право подписывать  электронные документы. При увольнении с этой должности атрибутный сертификат должен быть немедленно отозван, а сведения об этом включены в список отозванных атрибутных сертификатов, доступ к которому должен обеспечить поставщик услуг (удостоверяющий центр, который выдал сертификат). С этого момента все ЭЦП, выработанные владельцем личного ключа, будут действительны только в случаях, когда они не требуют подтверждения атрибутным сертификатом. Перейдя в другую организацию и получив там новый атрибутный сертификат, этот человек сможет подписывать тем же личным ключом документы новой организации.

Атрибутный сертификат, скорее всего, станет обязательным для пользователей ряда государственных информационных систем, в которых это будет оговорено регламентом или иным локальным нормативным актом. Во всех остальных случаях можно будет применять подписание с помощью двух ЭЦП, являющихся аналогами собственноручной подписи и оттиска печати. Практика покажет, какой из двух способов лучше подойдет для той или иной ситуации.

Поправка в Закон допускает и издание атрибутного сертификата, которым одно физическое лицо предоставляет другому полномочия действовать от своего имени. Такой атрибутный сертификат будет играть роль доверенности.

Что касается личного ключа, принадлежащего организации, то поправка в Закон допускает и другой способ его применения: для создания и (или) подписания электронных документов посредством автоматизированных информационных систем без участия физического лица. Таким способом могут удостоверяться, например, электронные квитанции, уведомления о доставке писем, счета к оплате и иные документы, которые автоматизированная система генерирует автоматически по заранее установленным правилам.

Порядок издания и отзыва атрибутных сертификатов, как и существовавший ранее порядок издания и отзыва сертификатов открытых ключей, отныне будет определяться ОАЦ. Физическое или юридическое лицо, заинтересованное в издании сертификата, сможет обратиться к поставщику услуг (в этой роли выступает, как правило, удостоверяющий или регистрационный центр). Если ранее при этом составлялся и собственноручно подписывался владельцем личного ключа бумажный документ – карточка открытого ключа, то теперь это не требуется. Следовательно, запрос на выдачу сертификатов может быть подан с помощью информационной системы.  Единственное обязательное требование – поставщик услуг должен проверить принадлежности личного ключа его владельцу. Порядок такой проверки также устанавливает ОАЦ. Можно рассчитывать, что в этом порядке будут предусмотрены возможности удаленной аутентификации, т.е. исчезнет необходимость лично приходить за сертификатами в регистрационный центр.

Поправки в Закон предусматривают для ЭЦП новую функцию – возможность удостоверять с ее помощью электронную копию документа на бумажном носителе. Практика сканирования как входящих, так и исходящих (подлежащих отправке по электронной почте) документов распространена в организациях весьма широко. Ранее правовой статус таких сканов (электронных отображений бумажных документов) не был определен. Отныне они приобретают статус официальных электронных копий, которые удостоверяются ЭЦП изготовившего их лица. Такая копия приобретает юридическую силу и может использоваться в переписке государственных органов и других государственных организаций при осуществлении ими функций, возложенных на них нормативными правовыми актами.

Хранение электронных копий должно осуществляться в том же порядке, что и хранение изначально электронных документов. Это означает, что в предусмотренных законодательством случаях они должны формироваться в дела и передаваться на архивное хранение. Конкретизировать эту норму смогут нормативные правовые акты государственного регулятора в сфере архивного дела и делопроизводства, которым является Министерство юстиции.

Наряду с электронной копией бумажного документа нередко возникает необходимость распечатать бумажную копию электронного. В Законе она определена как форма внешнего представления электронного документа на бумажном носителе. В прежней редакции допускались два варианта удостоверения такой копии – нотариусом либо организацией, имеющей соответствующую лицензию (на практике таковой признавалась лицензия, выдаваемая удостоверяющему центру). Теперь возможности существенно расширены: бумажную копию смогут удостоверять организация или индивидуальный предприниматель, либо создавшие такой электронный документ, либо получившие его от другой организации посредством межведомственных информационных систем. Чтобы определить порядок такого удостоверения, потребуется внести изменения в Положение о порядке удостоверения формы внешнего представления электронного документа на бумажном носителе, утвержденное постановлением Совета Министров Республики Беларусь от 20.07.2010 №1086.

Серьезную проблему при работе с электронными документами, а теперь и с электронными копиями бумажных, создает ограниченный срок действия сертификата открытого ключа. Этот срок ограничен расчетной стойкостью против взлома и может быть еще более сокращен в случае досрочного отзыва – например, по причине нарушения тайны личного ключа или смене должностного лица, имеющего право применять ключ. В случае, если и подписание электронного документа, и проверка действительности ЭЦП осуществляются в период действия сертификата, никаких сомнений в достоверности документа нет. Но многие документы подлежат хранению в течение длительных сроков, намного превышающих срок действия сертификатов. А в этих случаях достоверность теряется. Любая часть содержания электронного документа и его защищенных реквизитов, включая и указанную в самом документе дату его создания, теоретически может быть сфальсифицирована тем, кто похитил или взломал личный ключ.

Частично решает эту проблему появление в новой редакции Закона понятия «штамп времени». Оно определено как реквизит электронного документа, удостоверяющий дату и время его создания. Технически штамп времени представляет собой контрольную характеристику, выработанную по содержанию электронного документа (его хеш-значение), которую доверенная третья сторона (служба штампа времени) снабжает точной датой и подписывает собственным личным ключом.  Снабдить электронный документ штампом времени можно, если в момент подписания существует прямое информационное взаимодействие с удаленной службой штампа времени, проще говоря – при наличии доступа к ней через Интернет или специальный канал связи.

При наличии штампа времени не будет иметь значения, истек ли срок действия сертификата открытого ключа или атрибутного сертификата на момент проверки ЭЦП. Достаточно, чтобы сертификаты действовали на момент подписания, который надежно подтверждается штампом времени и не может быть сфальсифицирован потенциальным взломщиком личного ключа подписывающего лица. При этом условии электронный документ сохраняет свою юридическую силу.

Однако штамп времени не является обязательным реквизитом. К тому же немало электронных документов уже созданы и еще будут созданы до того, как сервис службы штампа времени станет общедоступным на практике. На этот случай в законе предусмотрена оговорка, что при отсутствии штампа времени подтверждение подлинности электронного документа после прекращения действия сертификата открытого ключа осуществляется в порядке, установленном законодательством. Полномочия определить такой порядок принадлежат органам архивного дела и делопроизводства, государственным архивным учреждениям, на которые другой поправкой в этот же Закон возложено регулирование деятельности по организации работы с электронными документами.

В настоящий момент порядок подтверждения подлинности электронных документов, не имеющих штампа времени, определен в проекте Правил работы с документами в электронном виде в архивах государственных органов, иных организаций, который размещен на сайте «Архивы Беларуси» и будет утвержден постановлением Министерства юстиции в трехмесячный срок после внесения поправок в Закон. Проект правил предусматривает, что при отсутствии штампов времени подлинность и целостность электронных документов при их передаче в архив подтверждается путем проверки их контрольных характеристик, указанных во внутренней описи электронного дела, в которое они включены. Эта внутренняя опись формируется при подготовке дела к передаче на архивное хранение как самостоятельный электронный документ и подписывается составившим ее работником с помощью его личного ключа или ключа организации. Тем самым работник или организация в целом принимают на себя ответственность за подлинность электронных документов, включенных в дело. Разумеется, сделать это они смогут только в том случае, если с момента создания или поступления документы хранились в системе электронного документооборота организации в условиях, которые исключают возможность их подмены или фальсификации.

 

Вячеслав Носевич

кандидат исторических наук,

директор Белорусского научно-исследовательского

центра электронной документации