Главная  / Законодательство  /  Использование чужой эцп. Передача ключа электронной подписи

Использование чужой эцп. Передача ключа электронной подписи

Законодательство
24.05.2020

Передача ЭЦП другому лицу возможна, однако это правило распространяется не на все виды электронных цифровых подписей. Разберем все нюансы данного вопроса, чтобы раз и навсегда поставить точку в возникающих по этому поводу спорах.

Общая информация об ЭЦП

Законодательное регулирование использования ЭЦП осуществляется на основании ФЗ «Об электронной подписи» от 06.04.2011 № 63-ФЗ.

ЭЦП — это электронные данные (набор символов), прикрепленные к электронному документу или иной информации, хранящимся в электронной форме. ЭЦП служит для того, чтобы идентифицировать лицо, использующего электронный документ или электронный ресурс (например, в сети интернет), и в некоторых случаях позволяет защитить сведения от несанкционированного изменения.

Существует 3 вида ЭЦП, которые отличаются друг от друга:

  1. Порядком получения.
  2. Защищенностью.
  3. Возможностью или отсутствием возможности идентификации пользователя.
  4. Возможностью или отсутствием возможности защиты информации от изменения третьими лицами.

Ст. 5 ФЗ № 63 выделяет следующие виды ЭЦП:

  1. Простая. Это связка пароля и логина. Широко распространена на различных форумах, в социальных сетях. Иногда возможна двухэтапная идентификация пользователя путем направления ему пароля по СМС или электронной почте. Главные отличия данного вида подписи – отсутствие применения технологий шифрования, слабая защищенность, невозможность заверения официальных документов.
  2. Неквалифицированная. Ее могут выдавать удостоверяющие центры без государственной аккредитации. Плюсом такой ЭЦП является применение криптографических методов шифрования. Используется, в частности, для гос. закупок по ФЗ № 223, ФЗ № 44, в личном кабинете на сайте ФНС. Для применения требуется заключение соглашения между партнерами.
  3. Квалифицированная. Выдается только аккредитованными удостоверяющими центрами. Самая надежная и защищенная. Используется повсеместно и заменяет «живую» подпись. Заказчику квалифицированной подписи выдается сертификат.

При использовании каких видов электронных подписей допускается передача ЭЦП другому лицу?

Ни одно положение закона не допускает передачу ЭЦП другим лицам. Это связано с тем, что электронная подпись призвана идентифицировать ее владельца, и играет роль «живой подписи», передача которой в принципе невозможна (многие юристы, иллюстрируя невозможность передачи ЭЦП, описывают жуткий процесс отрезания руки подписанта и ее передачу третьим лицам для использования в своих целях).

На практике возможность передачи ЭЦП зависит от ее вида. Простую ЭЦП можно передать без всяких последствий. Это связка логина и пароля, которые не приравниваются к «живой» подписи, информация не шифруется, а пользователь ЭЦП не идентифицируется. Однако возможны неблагоприятные последствия.

Например, если простая ЭЦП, используемая для идентификации человека в соц. сети, передана другому лицу, и тот размещает запрещенные материалы, ответственность понесет владелец ЭЦП. Исключение составляют редкие случаи, когда владелец учетной записи может доказать, что его данные были незаконно использованы (пароль подобрали, аккаунт взломали, и т.д.), либо он сам передал доступ к данным. Напомним, сама передача ЭЦП не наказуема — наказуемы действия, которые совершаются лицом, которому подпись передается.

Иные виды ЭЦП идентифицируют их пользователей, а информация шифруется. Рассмотрим правомерность их передачи далее.

Допускает ли закон передачу квалифицированной ЭЦП другому лицу, например, по акту приема-передачи?

Многих интересует вопрос возможности передачи третьим лицам квалифицированной ЭЦП (например, директором организации ее работнику). Согласно ст. 2 ФЗ № 63 цель использования электронной подписи состоит в том, чтобы обеспечить возможность достоверно определить ее владельца. При ее передаче третьим лицам, смысл ЭЦП теряется, поскольку доверенное лицо невозможно идентифицировать.

Согласно ст. 10 ФЗ № 63 владелец ЭЦП должен обеспечить ее конфиденциальность. Если подпись передается третьему лицу для использования, предполагается, что конфиденциальность нарушена (происходит утечка информации). В таком случае ст. 10 ФЗ № 63 возлагает на владельца ЭЦП обязанность уведомить удостоверяющий центр об этом, и не использовать ЭЦП. Таким образом, можно сделать вывод о том, что передача ЭЦП третьим лицам невозможна, даже на основании доверенности.

Ответственность за использование чужой ЭЦП

Ни в одном нормативном акте, в том числе УК РФ, КоАП РФ, не содержатся статьи, которые бы налагали ответственность за использование чужой ЭЦП. Однако это не означает, что можно пользоваться чужой электронной подписью безнаказанно.

В качестве примера приведем ситуацию, когда в результате несанкционированного использования ЭЦП третье лицо приобрело какую-либо финансовую выгоду. Например, с использованием ЭЦП директора организации, третьим лицом заключен гражданско-правовой договор, который повлек получение им финансовой выгоды. В этом случае третьему лицу может быть вменено мошенничество, ответственность за которое предусмотрена ст. 159 УК РФ (хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием).

Вторая возможная ситуация следующая. Директор организации передает по доверенности право на использование ЭЦП третьему лицу. Это лицо совершает незаконные действия с использованием ЭЦП, а обвинение предъявляется ее владельцу. В этом случае собственник подписи сможет избежать ответственности только в случае, если докажет, что документы действительно были подписаны другим лицом. Сделать это достаточно сложно, тем более, если незаконные действия были совершены с компьютера владельца ЭЦП.

Можно смоделировать множество похожих ситуаций. В связи с наличием риска не рекомендуется передавать ЭЦП по доверенности, на основании акта приема-передачи, любым другим способом. Следует осознавать, что всегда можно оформить ЭЦП на любое лицо, передав ему полномочия на совершение тех или иных действий, избежать рисков.

Таким образом, передача ЭЦП другому лицу неправомерна (если это не простая электронная цифровая подпись). Следует опасаться возможных последствий, которые можно бы было избежать, оформив ЭЦП на доверенное лицо.

Бывают ситуации, когда ЭЦП юридического лица или гражданина нужно передать другому физическому лицу для совершения каких-либо операций. В таком случае необходимо следовать правилам нормативно-правовых актов РФ, но в них не включен закон о передаче ЭЦП другому лицу .

В данном случае имеет смысл обратиться к Федеральному закону "Об электронной подписи " от 06.04.2011 г. №63 -ФЗ и конкретно к п.1 ст .10. закона . В этом пункте сказано, что владелец ЭЦП обязан обеспечить конфиденциальность ключа , и в частности не разрешать использовать ключ без согласия самого владельца . Делаем вывод, что если имеется согласие, то другое лицо законно может использовать ключ электронной цифровой подписи .

При этом возможно три варианта развития событий:

  1. Собственником сертификата и ключа является юридическое лицо , и ему нужно передать их в использование своему сотруднику. В этом случае передачу оформляют приказом по общей деятельности предприятия.
  2. Обладатель сертификата и ключа - юридическое лицо , а их передача производится другому человеку - не сотруднику компании. При таком варианте развития событий использование ЭЦП другим лицом оформляется с помощью доверенности.
  3. Передача физическим лицом своего ключа и сертификата ЭЦП другому физическому лицу также оформляется доверенностью.

Заказать ЭП

С другой стороны, передача электронной подписи другому лицу подпадает под действие ст .209 ч.2 ГК РФ, поскольку электронная подпись - это своего рода имущество владельца. Он может совершать с ЭП любые действия, которые не будут противоречить закону и интересам третьих лиц, в том числе и передавать во временное владение и пользование.

На основе ГК РФ и Закона делаем вывод, что передача ЭЦП другому лицу - вполне законное действие, для которого необходимо оформить соответствующий документ .

Закон о передаче ЭЦП другому лицу

Отметим следующую нестыковку: передача электронной подписи и ключа ЭЦП по Федеральному закону связана с сохранением конфиденциальности, то есть секретности информации от третьих лиц. Кроме того, закон 63 -ФЗ указывает, что с помощью электронной подписи можно идентифицировать ее владельца. Даже при передаче ключа или без него невозможно фактически установить, кто именно подписывает документ с помощью ЭЦП - владелец, сотрудник или чужой человек. В этом случае пользователь, получающий документы и информацию, не имеет достоверных сведений и надеется на честность и законопослушность владельца.

Хотя противоречие и имеется, на практике Минкомсвязи и ФНС не выделяют этот вопрос как проблему - по их мнению, ЭЦП можно передавать, но только с согласия владельца электронной подписи . При этом ответственность за использование электронной подписи возлагается как на владельца , так и на человека, получившего подпись .

Судебная практика подтверждает, что все риски и ответственность электронной подписи при ее передаче несет владелец. К примеру, если мошенники при использовании ЭЦП незаконно перевели денежные средства компании, то взыскать их с банка не получится - суд будет на стороне кредитного учреждения, ведь оно исполнило свою обязанность по обработке правильно составленного платежного поручения.

Возможно, будет лучше, если электронная подпись директора должна остаться у него, а на другого сотрудника сделать новую ЭЦП . При этом можно воспользоваться Единым справочником электронной подписи , преимущества которого такие:

  • Большой выбор удостоверяющих центров и актуальная информация по ним.
  • Ответственность за предоставление качественных и своевременных услуг.
  • Профессионализм при выполнении любой задачи.

установить личность заявителя – физического лица, обратившегося за получением квалифицированного сертификата;

получить от заявителя, обратившегося в УЦ от имени другого лица подтверждение права действовать от его имени.

Для этого заявитель представляет основной документ, удостоверяющий его личность – паспорт гражданина РФ (надлежащим образом заверенную копию), а также доверенность (иной документ), если он действует от имени других физических или юридических лиц ().

Использование электронной подписи другими лицами без ведома номинального владельца не освобождает его от ответственности за неблагоприятные последствия, наступившие в результате такого использования ( ; ; пост. Ленинского районного суда г. Владивостока Приморского края от 8 декабря 2014 г. по делу № 5-1087/2014).

Что касается последствий для УЦ, то в случае получения информации о нарушениях им Минкомсвязь России может провести его внеплановую проверку () и выдать предписания об устранении нарушений в установленный срок и приостановить действие его аккредитации ().

Рекомендуем вам внимательно подходить к выбору УЦ, в котором вы будете получать электронную подпись. Прежде чем направить туда сканы запрашиваемых документов убедитесь, что такому УЦ можно доверять. Лучшим признаком добросовестности УЦ будет приглашение от него лично прийти и собственноручно подписать заявление на выпуск квалифицированного сертификата. Это может показаться менее удобным, чем сделать все дистанционно, но такое разовое дополнительное действие обеспечит вам спокойствие в будущем. УЦ, надежно работающий с документами, предъявляет указанные выше требования ко всем получателям электронной подписи, бережно хранит ваши данные. А значит, можно рассчитывать на то, что он не позволит повторно выпустить сертификат на ваше имя без вашего ведома.

Электронная цифровая подпись (ЭП)

ЭЦП по доверенности на передачу права собственноручной подписи

Сергей Рудин 31 января 2012 г. 23:52

Один из наших читателей описал следующую ситуацию, возникшую на его предприятии:

«Есть 2 организации:

● Организация наша

● Сторонняя организация

Между организациями заключен договор, согласно которому сторонняя организация создает для нашей организации определенные документы. Документ создается и подписывается исполнителем сторонней организации, но т.к. договор заключен между генеральными директорами, то на исполнителя выписана доверенность на передачу права подписи.

Было решено перенести этот процесс в СЭД, для чего сотруднику сторонней организации обеспечили доступ в систему и заключили соглашение о признании ЭЦП при обмене документами. Теперь документ создаётся непосредственно в СЭД и подписывается ЭЦП.

Вопрос: будет ли доверенность на передачу права собственноручной подписи действительна и на электронную подпись? Или нужно в доверенности данный момент указать в явном виде?»

В своих рассуждениях читатель опирается на статью 4 закона «Об электронной цифровой подписи» «Условия признания равнозначности электронной цифровой подписи и собственноручной подписи», которая гласит:

1. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

● сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

● подтверждена подлинность электронной цифровой подписи в электронном документе;

● электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

2. Участник информационной системы может быть одновременно владельцем любого количества сертификатов ключей подписей. При этом электронный документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи.

И действительно, вроде бы, при соблюдении указанных условий, собственноручная и электронная подписи равнозначны, но всё не так просто.

Начнём с того, что, согласно тому же закону «Об электронной цифровой подписи», подтверждение подлинности электронной цифровой подписи в электронном документе – это положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе. То есть равнозначной собственноручной может быть признана только та ЭЦП, которая проверена (и, соответственно, создана) с помощью сертифицированных средств электронной цифровой подписи.

О проверке подлинности электронной подписи .

Так же много зависит от формулировки самой доверенности – корректно ли процесс формирования ЭЦП называть подписанием? А доверенность, вероятнее всего, выдана на право подписания.

Далее, до сих пор мы намеренно не принимали во внимание тот факт, что закон «Об электронной цифровой подписи» - не единственный, который на данный момент регламентирует эту область, да и действует он только до июля 2012 года. На смену ему пришёл закон «Об электронной подписи». Он, в свою очередь, вообще не рассматривает равнозначность электронной и собственноручной подписи, а указывает условия, при которых электронные документы, подписанные электронной подписью, признаются равнозначными документам на бумажном носителе, подписанным собственноручной подписью.

Обобщив приведённые доводы, можно сказать – переоформлять доверенность необходимо. Так же необходимо заключение соглашения о статусе ЭП, где будут зафиксированы случаи её признания, отзыва, проверки действительности, а так же разрешении спорных ситуаций.

Недавно в кругу коллег обсуждали достаточно интересную и, признаться, распространенную ситуацию, когда директор компании передает секретарю свой токен с электронной подписью, чтобы тот подписывал исходящие электронные документы в сервисе межкорпоративного документооборота. Подписание документов от лица директора его заместителем или секретарем – дело вполне житейское, особенно, в России. Наш российский руководитель редко сидит долго за компьютером.

Электронная подпись, кажется, органично вписывается в эту практику, если не брать в расчет, что закрытый ключ никому нельзя передавать, он всегда находится только у владельца сертификата ЭП и идентифицирует только его. Иначе как приравнять электронную подпись к собственноручной? Если проводить параллель с обычным автографом, то, получается, его владелец передает другому человеку собственную руку. Именно «собственноручность» является определяющим фактором доверия к ЭП!

Другой вопрос – безопасность. Формально, при передаче другому лицу тайна ключа нарушается, и невозможность подделки электронного документа и электронной подписи автоматически ставится под сомнение. Получается, что передавая свой токен другому человеку, владелец сертификата добровольно допускает компрометацию своего ключа ЭП. А это уже основание для отзыва сертификата.

Проблема ли это для тех организаций, в которых часто приходится визировать документы без участия директора? В том-то и дело, что… нет!

Во-первых, в законодательстве совершенно не регламентирован порядок передачи ЭП для использования третьими лицами. Для России это означает примерно следующее: «делай, что хочешь». Забавный факт: в некоторых компаниях даже выпускают внутренний приказ, передающий право подписи ЭП за директора третьему лицу. Это даже придает определенной уверенности.

Во-вторых, сама по себе сохранность закрытого ключа – тема очень скользкая, которая в итоге ставит вопросы больше к обеспечению безопасности на всем предприятии в целом, а не к конкретной технологии. Человеческий фактор, к сожалению, никак не исключить.

В-третьих, обращаемся к самому ФЗ 63 «Об электронной подписи », статья 10:

При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:
1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия;
<…>
3) не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена;

Это практически дословно дублируются в регламентах Удостоверяющих центров. То есть, тут нет фактического запрета на передачу закрытого ключа кому-то другому. Вот эти самые «без согласия» и «основания полагать» и дают формальную возможность передавать право на подписание документов за руководителя. Правда и совершенно не понятно, что делать, если подпись будет обнаружена не там – как доказать в суде, что это не директор подписал? Фактически определить, кто воспользовался подписью в этом случае нельзя - и прицнип неотказуемости сработает на полную катушку.

Что тут можно посоветовать? Если руководитель не опасается никого и ничего, то можно оставить все, как есть. Если же проявлять хоть какую-то осторожность, то логичнее всего приобрести отдельный сертификат ЭП для заместителя или исполняющего обязанности руководителя. Если же хочется визировать документы исключительно самостоятельно, то токен с сертификатом можно всегда использовать для подписи через веб-клиент сервиса электронного документооборота. Уж ноутбук-то можно взять с собой хоть куда.

Ну и, конечно, ждем распространения решений КриптоПро на мобильных платформах, когда начнут появляться iOS- и Android-клиенты сервисов ЭДО. Есть чувство, что ждать осталось не долго. Тогда окончательно пропадет вопрос с удаленным подписанием электронных документов.