Головна  /  Законодавство  /  Використання чужої ЕЦП. Передача ключа електронного підпису

Використання чужої ЕЦП. Передача ключа електронного підпису

Законодавство
24.05.2020

Передача ЕЦП іншій особі можливе, проте це правило поширюється не на всі види електронних цифрових підписів. Розберемо всі нюанси даного питання, щоб раз і назавжди поставити крапку в суперечках, що виникають з цього приводу.

Загальна інформація про ЕЦП

Законодавче регулювання використання ЕЦП здійснюється на підставі ФЗ «Про електронного підпису» від 06.04.2011 № 63-ФЗ.

ЕЦП - це електронні дані (набір символів), прикріплені до електронного документа або іншої інформації, що зберігається в електронної форми. ЕЦП служить для того, щоб ідентифікувати особу, яка використовує електронний документ або електронний ресурс (наприклад, в Інтернеті), і в деяких випадках дозволяє захистити відомості від несанкціонованої зміни.

Існує 3 види ЕЦП, які відрізняються один від одного:

  1. Порядок отримання.
  2. Безпекою.
  3. Можливість або відсутність можливості ідентифікації користувача.
  4. Можливість або відсутність можливості захисту інформації від зміни третіми особами.

ст. 5 ФЗ № 63 виділяє такі види ЕЦП:

  1. Проста. Це зв'язування пароля та логіна. Широко поширена на різних форумах, соціальних мережах. Іноді можлива двоетапна ідентифікація користувача шляхом надсилання йому пароля через СМС або електронній пошті. Головні відмінності цього підпису – відсутність застосування технологій шифрування, слабка захищеність, неможливість засвідчення офіційних документів.
  2. Некваліфікована. Її можуть видавати посвідчувальні центри без державної акредитації. Плюсом такої ЕЦП є застосування криптографічних методів шифрування. Використовується, зокрема, для держ. закупівель з ФЗ № 223, ФЗ № 44, особистому кабінетіна сайті ФНП. Для застосування потрібне укладання угоди між партнерами.
  3. Кваліфікована. Видається лише акредитованими центрами, що засвідчують. Найнадійніша та захищена. Використовується повсюдно та замінює «живий» підпис. Замовнику кваліфікованого підпису видається сертифікат.

У разі використання яких видів електронних підписів допускається передача ЕЦП іншій особі?

Жодне положення закону не допускає передачі ЕЦП іншим особам. Це пов'язано з тим, що електронний підпис покликаний ідентифікувати її власника, і відіграє роль «живого підпису», передача якого в принципі неможлива (багато юристів, ілюструючи неможливість передачі ЕЦП, описують моторошний процес відрізання руки підписувача та її передачу третім особам для використання у своїх цілях).

Насправді можливість передачі ЭЦП залежить від її виду. Просту ЕЦП можна передати без жодних наслідків. Це зв'язування логіну та пароля, які не прирівнюються до «живого» підпису, інформація не шифрується, а користувач ЕЦП не ідентифікується. Проте можливі несприятливі наслідки.

Наприклад, якщо проста ЕЦП, що використовується для ідентифікації людини в соц. мережі, передана іншій особі, і вона розміщує заборонені матеріали, відповідальність понесе власник ЕЦП. Виняток становлять рідкісні випадки, коли власник облікового записуможе довести, що його дані були незаконно використані (пароль підібрали, обліковий запис, і т.д.), або він сам передав доступ до даних. Нагадаємо, сама передача ЕЦП не карається — дії, що здійснюються особою, якій підпис передається.

Інші види ЕЦП ідентифікують користувачів, а інформація шифрується. Розглянемо правомірність їхньої передачі далі.

Чи допускає закон передачу кваліфікованої ЕЦП іншій особі, наприклад, за актом приймання-передачі?

Багатьох цікавить питання можливості передачі третім особам кваліфікованої ЕЦП (наприклад, директором організації працівникові). Відповідно до ст. 2 ФЗ № 63 мета використання електронного підпису полягає у тому, щоб забезпечити можливість достовірно визначити його власника. При її передачі третім особам сенс ЕЦП втрачається, оскільки довірена особа неможливо ідентифікувати.

Відповідно до ст. 10 ФЗ № 63 власник ЕЦП має забезпечити її конфіденційність. Якщо підпис передається третій особі для використання, передбачається, що конфіденційність порушена (відбувається витік інформації). У разі ст. 10 ФЗ № 63 покладає на власника ЕЦП обов'язок повідомити засвідчувальний центр про це та не використовувати ЕЦП. Таким чином, можна зробити висновок про те, що передача ЕЦП третім особам неможлива, навіть на підставі довіреності.

Відповідальність за використання чужої ЕЦП

У жодному нормативному акті, зокрема КК РФ, КоАП РФ, немає статті, які б накладали відповідальність використання чужої ЕЦП. Однак це не означає, що можна користуватися чужим електронним підписом безкарно.

Як приклад наведемо ситуацію, коли в результаті несанкціонованого використання ЕЦП третя особа набула якоїсь фінансової вигоди. Наприклад, з використанням ЕЦП директора організації, третьою особою укладено громадянсько-правовий договір, який спричинив отримання ним фінансової вигоди. У цьому випадку третій особі може бути поставлене шахрайство, відповідальність за яке передбачено ст. 159 КК РФ (розкрадання чужого майна чи придбання права на чуже майно шляхом обману чи зловживання довірою).

Друга можлива ситуаціянаступна. Директор організації передає за дорученням право використання ЕЦП третій особі. Ця особа вчиняє незаконні дії з використанням ЕЦП, а звинувачення висувається її власнику. У цьому випадку власник підпису зможе уникнути відповідальності лише у разі, якщо доведе, що документи справді були підписані іншою особою. Зробити це досить складно, тим паче, якщо незаконні дії вчинили з комп'ютера власника ЕЦП.

Можна змоделювати безліч схожих ситуацій. У зв'язку з наявністю ризику не рекомендується передавати ЕЦП за довіреністю, на підставі акта приймання-передачі будь-яким іншим способом. Слід усвідомлювати, що завжди можна оформити ЕЦП на будь-яку особу, передавши їй повноваження на вчинення тих чи інших дій уникнути ризиків.

Таким чином, передача ЕЦП іншій особі неправомірна (якщо це не простий електронний цифровий підпис). Слід побоюватися можливих наслідків, які можна було б уникнути, оформивши ЕЦП на довірену особу.

Бувають ситуації, коли ЕЦПюридичної особи чи громадянина потрібно передати іншомуфізичному особідля здійснення будь-яких операцій. У такому разі необхідно дотримуватися правил нормативно-правових актів РФ, але в них не включено закон про передачу ЕЦП іншій особі.

В даному випадку має сенс звернутися до Федеральному закону"Про електронної підписивід 06.04.2011 р. № 63 -ФЗта безпосередньо до п.1 ст.10. закону. У цьому пункті сказано, що власник ЕЦПзобов'язаний забезпечити конфіденційність ключа, і зокрема не дозволяти використовувати ключбез згоди самого власника. Робимо висновок, що якщо є згода, то інша особа може законно використовувати ключ електронної цифровий підпис .

При цьому можливі три варіанти розвитку подій:

  1. Власником сертифікатаі ключає юридична обличчя, і йому потрібно передати їх у використаннясвого співробітника. В цьому випадку передачуоформляють наказом за спільної діяльностіпідприємства.
  2. Власник сертифікатаі ключа- юридичне обличчя, а їх передачаВиготовляється іншомулюдині – не співробітнику компанії. За такого варіанта розвитку подій використання ЕЦП іншою особоюоформляється за допомогою довіреності.
  3. Передачафізичним обличчямсвого ключаі сертифіката ЕЦП іншомуфізичному особітакож оформляється довіреністю.

Замовити ЕП

З іншого боку, передача електронного підпису іншій особіпідпадає під дію ст.209 ч.2 ЦК України, оскільки електронний підпис- Це свого роду майно власника. Він може здійснювати з ЕПбудь-які дії, які не суперечитимуть законута інтересам третіх осіб, у тому числі і передавати у тимчасове володіння та користування.

На основі ДК РФ та Законуробимо висновок, що передача ЕЦП іншій особі- цілком законна дія, для якої необхідно оформити відповідний документ.

Закон про передачу ЕЦП іншій особі

Зазначимо таку нестиковку: передача електронного підписуі ключа ЕЦП за Федеральним законупов'язана із збереженням конфіденційності, тобто секретності інформації від третіх осіб. Крім того, закон63 -ФЗвказує, що за допомогою електронного підписуможна ідентифікувати її власника. Навіть при передачі ключаабо без нього неможливо фактично встановити, хто саме підписує документза допомогою ЕЦП- Власник, співробітник або чужийлюдина. У цьому випадку користувач, який отримує документита інформацію, що не має достовірних відомостей та сподівається на чесність та законослухняність власника.

Хоча суперечність і є, на практиці Мінкомзв'язку та ФНП не виділяють це питання як проблему - на їхню думку, ЕЦПможна передавати, але лише за згодою власника електронного підпису. При цьому відповідальність за використання електронного підписупокладається як на власника, так і на людину, яка отримала підпис.

Судова практика підтверджує, що всі ризики та відповідальність електронного підписупід час її передачі несе власник. Наприклад, якщо шахраї під час використання ЕЦПнезаконно переклали грошові коштикомпанії, то стягнути їх з банку не вийде судбуде на стороні кредитної установи, адже вона виконала свій обов'язок щодо обробки правильно складеного платіжного доручення.

Можливо, буде краще, якщо електронний підпис директорамає залишитися в нього, а на іншого співробітника зробити нову ЕЦП. При цьому можна скористатися Єдиним довідником електронного підпису, переваги якого такі:

  • Великий вибір центрів, що засвідчують, та актуальна інформація щодо них.
  • Відповідальність за надання якісних та своєчасних послуг.
  • Професіоналізм під час виконання будь-якого завдання.

встановити особу заявника – фізичної особи, який звернувся за отриманням кваліфікованого сертифіката;

отримати від заявника, який звернувся до УЦ від імені іншої особи, підтвердження права діяти від його імені.

Для цього заявник подає основний документ, що засвідчує його особу - паспорт громадянина РФ (належним чином засвідчену копію), а також довіреність (інший документ), якщо він діє від імені інших фізичних осіб або юридичних осіб ().

Використання електронного підпису іншими особами без відома номінального власника не звільняє його від відповідальності за несприятливі наслідки, що настали внаслідок такого використання ( ; ; пост. Ленінського районного суду м. Владивостока Приморського краю від 8 грудня 2014 р. у справі № 5-1087/20 ).

Щодо наслідків для УЦ, то у разі отримання інформації про порушення ним Мінкомзв'язок Росії може провести його позапланову перевірку() та видати приписи про усунення порушень у встановлений термінта призупинити дію його акредитації ().

Рекомендуємо вам уважно підходити до вибору УЦ, в якому ви отримуватимете електронний підпис. Перш ніж направити туди скани документів, що запитуються, переконайтеся, що такому УЦ можна довіряти. Найкращою ознакою сумлінності УЦ буде запрошення від нього особисто прийти та власноручно підписати заяву на випуск кваліфікованого сертифікату. Це може здатися менш зручним, ніж зробити все дистанційно, але така разова додаткова дія забезпечить вам спокій у майбутньому. УЦ, що надійно працює з документами, пред'являє зазначені вище вимоги до всіх одержувачів електронного підпису, дбайливо зберігає ваші дані. Отже, можна розраховувати на те, що він не дозволить повторно випустити сертифікат на ваше ім'я без вашого відома.

Електронний цифровий підпис (ЕП)

ЕЦП за дорученням на передачу права власноручного підпису

Сергій Рудін 31 січня 2012 р. 23:52

Один із наших читачів описав наступну ситуацію, що виникла на його підприємстві:

«Є 2 організації:

● Організація наша

● Стороння організація

Між організаціями укладено договір, за яким стороння організація створює нашій організації певні документи. Документ створюється та підписується виконавцем сторонньої організації, Але т.к. договір укладено між генеральними директорами, то на виконавця виписано доручення на передачу права підпису.

Було вирішено перенести цей процес у СЕД, для чого співробітнику сторонньої організації забезпечили доступ до системи та уклали угоду про визнання ЕЦП під час обміну документами. Тепер документ створюється безпосередньо в СЕД та підписується ЕЦП.

Питання: чи буде доручення на передачу права власноручного підпису дійсним і на електронний підпис? Чи потрібно в довіреності вказати в явному вигляді?»

У своїх міркуваннях читач спирається на статтю 4 закону «Про електронний цифровий підпис» «Умови визнання рівнозначності електронного цифрового підпису та власноручного підпису», яка свідчить про:

1. Електронний цифровий підпис в електронному документі рівнозначний власноручному підпису в документі паперовому носіїпри одночасному дотриманні наступних умов:

● сертифікат ключа підпису, який відноситься до цього електронного цифрового підпису, не втратив чинності (діє) на момент перевірки або на момент підписання електронного документаза наявності доказів, що визначають момент підписання;

● підтверджено справжність електронного цифрового підпису в електронному документі;

● електронний цифровий підпис використовується відповідно до відомостей, зазначених у сертифікаті ключа підпису.

2. Учасник інформаційної системи може бути одночасно власником будь-якої кількості сертифікатів ключів підписів. При цьому електронний документ з електронним цифровим підписом має юридичне значенняпід час здійснення відносин, зазначених у сертифікаті ключа підпису.

Насправді, за дотримання зазначених умов, власноручний і електронний підписи рівнозначні, але все не так просто.

Почнемо з того, що, згідно з тим самим законом «Про електронний цифровий підпис», підтвердження справжності електронного цифрового підпису в електронному документі – це позитивний результатперевірки відповідним сертифікованим засобом електронного цифрового підпису з використанням сертифіката ключа підпису приналежності електронного цифрового підпису в електронному документі власнику сертифіката ключа підпису та відсутності спотворень у підписаному електронним цифровим підписом електронному документі. Тобто рівнозначною власноручною може бути визнана лише та ЕЦП, яка перевірена (і, відповідно, створена) за допомогою сертифікованих засобів електронного цифрового підпису.

Про перевірку справжності електронного підпису.

Також багато залежить від формулювання самої довіреності – чи коректно процес формування ЕЦП називати підписанням? А довіреність, найімовірніше, видана на право підписання.

Далі, досі ми навмисно не брали до уваги той факт, що закон «Про електронний цифровий підпис» – не єдиний, який на даний момент регламентує цю сферу, та й діє він лише до липня 2012 року. На зміну йому прийшов закон «Про електронний підпис». Він, у свою чергу, взагалі не розглядає рівнозначність електронного та власноручного підпису, а зазначає умови, за яких електронні документи, підписані електронним підписом, визнаються рівнозначними документам на паперовому носії, підписаним власноручним підписом.

Узагальнивши наведені аргументи, можна сказати – переоформлювати довіреність потрібно. Також необхідно укладання угоди про статус ЕП, де будуть зафіксовані випадки її визнання, відкликання, перевірки дійсності, а також вирішення спірних ситуацій.

Нещодавно у колі колег обговорювали досить цікаву і, зізнатися, поширену ситуацію, коли директор компанії передає секретареві свій токен з електронним підписом, щоб той підписував вихідні електронні документи у сервісі міжкорпоративного документообігу. Підписання документів від імені директора його заступником чи секретарем – справа цілком життєва, особливо, у Росії. Наш російський керівник рідко сидить довго за комп'ютером.

Електронний підпис, здається, органічно вписується в цю практику, якщо не брати до уваги, що закритий ключ нікому не можна передавати, він завжди знаходиться лише у власника сертифікату ЕП та ідентифікує лише його. Інакше як прирівняти електронний підпис до власноручного? Якщо проводити паралель із звичайним автографом, то виходить, його власник передає іншій людині власну руку. Саме «власноручність» є визначальним чинником довіри до ЕП!

Інше питання – безпека. Формально при передачі іншій особі таємниця ключа порушується, і неможливість підробки електронного документа та електронного підпису автоматично ставиться під сумнів. Виходить, що передаючи свій токен іншій людині, власник сертифіката добровільно припускає компрометацію свого ключа ЕП. А це вже основа для відкликання сертифікату.

Чи це проблема для тих організацій, у яких часто доводиться візувати документи без участі директора? У тому й річ, що… ні!

По-перше, в законодавстві зовсім не регламентовано порядок передачі ЕП для використання третіми особами. Для Росії це означає приблизно таке: "роби, що хочеш". Кумедний факт: у деяких компаніях навіть випускають внутрішній наказ, що передає право підпису ЕП за директора третій особі Це навіть надає певної впевненості.

По-друге, сама по собі безпека закритого ключа– тема дуже слизька, яка ставить питання більше до забезпечення безпеки на всьому підприємстві в цілому, а не до конкретної технології. Людський чинник, на жаль, аж ніяк не виключити.

По-третє, звертаємося до самого ФЗ 63 «Про електронний підпис», стаття 10:

Під час використання посилених електронних підписів учасники електронної взаємодіїзобов'язані:
1) забезпечувати конфіденційність ключів електронних підписів, зокрема не допускати використання належних їм ключів електронних підписів без їхньої згоди;
<…>
3) не використовувати ключ електронного підпису за наявності підстав вважати, що конфіденційність цього ключа порушена;

Це практично дослівно дублюються в регламентах центрів, що засвідчують. Тобто тут немає фактичної заборони на передачу закритого ключа комусь іншому. Ось ці «без згоди» та «підстави вважати» і дають формальну можливість передавати право на підписання документів за керівника. Щоправда, і зовсім не зрозуміло, що робити, якщо підпис буде виявлено не там – як довести в суді, що це не директор підписав? Фактично визначити, хто скористався підписом у цьому випадку не можна – і принцип невідмовності спрацює на повну котушку.

Що тут можна порадити? Якщо керівник не боїться нікого й нічого, то можна залишити все як є. Якщо ж виявляти хоч якусь обережність, то найлогічніше придбати окремий сертифікат ЕП для заступника або виконувача обов'язків керівника. Якщо ж хочеться візувати документи виключно самостійно, то токен із сертифікатом можна завжди використовувати для підпису через веб-клієнт сервісу електронного документообігу. Вже ноутбук можна взяти з собою хоч куди.

Ну і, звичайно, чекаємо на поширення рішень КриптоПро на мобільних платформах, коли почнуть з'являтися iOS-і Android-клієнти сервісів ЕДО. Є почуття, що чекати лишилося не довго. Тоді остаточно зникне питання з віддаленим підписанням електронних документів.