Электронная подпись в Европе

Ольга Якушкина · 06 ноя 2020 ·

8741 ·

В Европейских государствах при обмене электронными документами применяется электронная и цифровая подпись. В чем различия, какие существуют условия их применения? В статье мы попытались разобраться в этих вопросах.

Законы об электронной подписи в Европе.

В Европе законодательная работа с электронной подписью ведется достаточно давно. В 2011 году Европейской Комиссией был представлен Акт Единого Рынка (The Single Market Act), в котором выделены 12 стратегических инициатив, призванных усилить рост и развитие экономики. Туда была включена пересмотренная Директива об электронных подписях (the Directive on Electronic Signatures (1999/93/EC)). Данная Директива давала свободу действий странам-участникам в отношении применения положений, но это привело лишь к разрозненным и несогласованным законам, в результате действия которых не удавалось достичь трансграничности применения электронных подписей. Более того, Директива не успевала за развитием технологий - во времена ее составления не существовало мобильных и облачных средств подписи, изменивших наше представление о ведении электронного документооборота.

1 июля 2016 года вступил в силу закон, регулирующий электронную идентификацию и услуги доверия на внутреннем рынке Европейского союза (The EU Regulation on Electronic Identification and Trust Services in the Internal Market (910/2014/EU), the Regulation, далее регламент eIDAS). В данный момент это основной нормативный документ, регулирующий применение электронной подписи и ее верификации, а также некоторые другие услуги доверия, включая электронные печати и штампы времени на внутреннем рынке Европы.

Целью данного регуляторного акта является помощь бизнесу, потребителям и органам государственного сектора в совершении удобных и безопасных сделок в пределах Европы. Этот регламент затрагивает не только электронную подпись, но и прочие услуги доверия: электронные штампы (аналог ЭП, но используется юридическими лицами), метки времени, а также правила для проведения транзакций и аутентификации.

Надо сказать, что во многих странах сохраняют свое влияние ранее созданные акты, касающиеся электронной подписи. При решении взаимодействовать в законодательном поле с европейцами всегда надо будет уточнять, какая электронная подпись будет действительна для конкретного документа. К примеру, согласно статье 126 Гражданского кодекса Германии, контракт должен быть подписан исключительно квалифицированной электронной подписью. А в Великобритании нет такого требования в отношении контрактов, да и в целом КЭП намного реже используется при ведении бизнеса. Тем не менее, eIDAS действует на территории Евросоюза равным образом, что обеспечивает относительную трансграничность и упрощает проведение международных сделок и заключение разного рода договоров на внутреннем рынке Европы.

В Великобритании период с 31 января 2020 (с момента выхода из ЕС) до 31 декабря 2020 объявлен переходным. Это означает, что на данный момент однозначного решения нет, будут ли прекращены все партнерские связи с ЕС, либо же часть из них сохранится и будет функционировать далее.

Что касается регламента eIDAS, и применения электронной подписи в частности: экспертами предполагается, что базовые положения регламента будут перенесены в новый внутренний британский закон, возможно, с некоторыми поправками. Скорее всего, регламент не будет сильно изменен, так как новые порядки могут существенно затормозить проведение сделок.

Квалифицированные поставщики доверенных услуг, зарегистрированные в доверенном списке ЕС, будут работать до конца переходного периода. После окончания этого периода указанные выше поставщики доверенных услуг будут внесены во внутренний список поставщиков Великобритании.

Таким образом, практически никаких значимых изменений для организаций, использующих квалифицированную электронную подпись (даже если она выпущена в другой стране ЕС) в своей деятельности внутри страны, не произойдет.

Однако с 31 декабря 2020 года КЭП, выпущенная аккредитованным квалифицированным поставщиком доверенных услуг Соединенного Королевства, на территории Евросоюза уже не будет считаться квалифицированной и может быть не принята в некоторых организациях ЕС.

Из вышеприведенного примера можно сделать вывод, что применение того или иного типа подписи в отраслях будет различаться в зависимости от страны. Поэтому в законе наиболее любопытная информация представлена в области категоризации электронных подписей.

Типы подписей согласно eIDAS.

Регламент eIDAS определяет три типа электронных подписей: стандартную электронную (electronic signature), усиленную (advanced) и квалифицированную (qualified) подписи. Они имеют как сходные черты с определениями в российском законе, так и некоторые различия.

Рассмотрим подробнее каждую из типов подписи.

Стандартная электронная подпись (electronic signature).

“any data in electronic form which is attached to or logically associated with other data in electronic form and which is used by the signatory to sign” (Article 3(10), the Regulation)

Стандартная электронная подпись означает “любые данные в электронной форме, прикрепленные или логически ассоциированные с другими данными в электронной форме, используемые подписантом”. Иными словами, такой тип подписи является электронным эквивалентом подписи, сделанной рукой. Данная подпись может варьироваться от напечатанного имени в email до подтверждения согласия предоставлением своих биометрических данных.

Говоря о сфере применения ЭП в документообороте, платформы подписания электронной подписью обычно позволяют подписать непосредственно документ (стилусом, мышью либо пальцем) или выбрать вариант имени, напечатанного на компьютере, с возможностью выбрать шрифт и стиль.

Такие типы подписей обычно не требуют привлечения третьей стороны для верификации личности подписанта, и при этом они отвечают требованиям к электронной подписи регламента eIDAS.

Возможные отрасли применения: стандартные бланки больниц, школ, страховых компаний, некоторые банковские формы, документы, подаваемые в госсектор, договоры на предоставление услуг малым бизнесом, контракты с фрилансерами и консультантами.

Усиленная электронная подпись (advanced electronic signature).

Усиленная электронная подпись является более совершенной и безопасной формой подписи. Это цифровая подпись, создаваемая с помощью инфраструктуры открытых ключей (PKI) и вставляемая в код электронного документа. Правовые требования к усиленной ЭП изложены в статье 26 регламента eIDAS (см. рис. “Требования к усиленной электронной подписи”).

Регламент сам по себе технологически нейтрален и не предписывает, как должны быть выполнены эти требования. Однако еще до отмены Директивы в рабочем документе Форума европейских надзорных органов для поставщиков трастовых услуг (the Forum of European Supervisory Authorities for trust service providers, FESA) было предписание, что усиленная электронная подпись является результатом технологии PKI.

Поставщик услуг доверия выпускает и подписывает цифровой сертификат, который подтверждает личность подписанта и содержит его открытый ключ. Цифровой сертификат связан с электронным документом в результате подписания цифровой подписью.

Получателю документа гарантировано, что подписавший - именно тот, кто должен был подписать документ, и он использует открытый ключ подписанта для того, чтобы проверить цифровую подпись.

Требования к усиленной электронной подписи

Статья 26 регламента, регулирующего электронную идентификацию и услуги доверия на внутреннем рынке (eIDAS), декларирует, что усиленная электронная подпись должна быть:

уникальным образом связана с подписантом;
такой, чтобы по ней можно было идентифицировать подписанта;
создана с использованием данных создания электронной подписи (а именно, с использованием закрытого ключа), которые подписант может использовать под свои единоличным контролем с высокой степенью уверенности;
связана с подписанными данными таким образом, что любое последующее изменение данных будет замечено.

Квалифицированная электронная подпись (qualified electronic signature).

Третий тип - квалифицированная электронная подпись. Это также цифровая подпись, созданная с использованием устройства для создания электронной подписи. Она обеспечивает самый высокий уровень доказательности в судах ЕС и имеет равное правовое значение наравне с собственноручной подписью (статья 25(2), регламент eIDAS).

Помимо соответствий требованиям, предъявляемым к УЭП, европейская КЭП должна быть сопровождена цифровым сертификатом, выпущенным квалифицированным поставщиком услуг доверия (QTSP), учетные данные которых внесены в доверенный список (trusted list), опубликованный государством-участником (статья 22, регламент eIDAS).Такой список содержит информацию, относящуюся к квалифицированному поставщику услуг доверия, находящемуся под надзором страны-участника ЕС, а также перечисление услуг, предоставляемых поставщиком. При этом квалифицированным поставщик будет считаться исключительно только в том случае, если он внесен в доверительный список.

Интерактивная карта, отражающая актуальное состояние доверенного списка квалифицированных поставщиков доверительных услуг в Европе.

the “Signature Generation & Sealing Service” (SigS) - услуги генерации подписи и печатей,

the “Validation Service” (ValS) - услуги проверки,

the “Preservation Service” (PresS) - услуги хранения,

the “Electronic Delivery Service” (EDS) - услуги электронной доставки,

the “Time Stamp Authority” (TSA) - уполномоченный по выпуску временных меток,

the “Certification Authority” (CA) - центр сертификации.

Источник: Экосистема eIDAS

Разница между электронной и цифровой подписью.

Почти в любом источнике информации, посвященном электронной подписи, можно увидеть использование слов “электронная подпись” и “цифровая подпись”. И не сразу понятно, являются ли они синонимичными, или все же они обладают некоторой смысловой разницей. Разница действительно есть и заключается она в основном в том, что “электронная подпись” - это оцифрованная подпись почти в любом виде, а “цифровая подпись” - подписанный документ с применением криптографических алгоритмов и технологий шифрования. Более подробное сравнение приведено в таблице.

Критерий	Electronic Signature	Digital Signature
Наличие визуальной отметки	Поскольку в Регламенте eIDAS электронной подписью считается не только факсимиле, но и пароль, пинкод и даже выражение согласия нажатием на кнопку, соответственно, любая визуальная отметка на месте подписи в документе считается electronic signature.	“Отпечаток” подписи встраивается в документ, подписываемый с использованием цифрового сертификата.
Криптографические алгоритмы	В создании стандартной электронной подписи не используются криптографические алгоритмы и нет утвержденных технологических стандартов.	Цифровая подпись создается с использованием криптографических алгоритмов и технологий шифрования.
Подтверждение личности подписанта\получателя	Стандартная ЭП не подтверждает и не верифицирует подписанта и получателя документа.	Даже для выпуска цифрового сертификата необходимо верифицировать его получателя.
Участие третьей стороны	Использование стандартной ЭП зачастую не включает в себя участие третьей стороны (центром сертификации или поставщиком доверительных услуг).	Для получения цифрового сертификата получателю необходимо обратиться в центр сертификации (США и некоторые другие страны) или к поставщику доверительных услуг (ЕС и другие страны). Эти организации верифицируют личность пользователя, и затем на основе полученных данных происходит выпуск сертификата.