Международно-правовая работа по юридическому регулированию отношений в области электронной коммерции в основном сосредоточилась в Комиссии ООН по международному торговому праву - ЮНСИТРАЛ (UNCITRAL). Здесь было разработано два модельных закона: об электронной коммерции (MLEC, 1996) и об электронных подписях (MLES, 2000) *(173). Оба они основной упор делают на придание юридического статуса электронным документам. Устраняются юридические барьеры для использования электронных соглашений, отменяется "монополия бумажных документов". Все это в очень общей форме отражено в ст. 6 и 7 MLEC:
"Если закон предусматривает, что информация должна быть в письменной форме, предписание считается выполненным, когда полученная информация доступна для использования впоследствии.
Если закон предусматривает, что документ должен быть подписан, предписание считается выполненным, когда метод подписания позволяет 1) идентифицировать лицо, 2) установить, что оно одобрило документ, и при этом 3) надежность метода соответствует обстоятельствам и целям его применения (appropriate to circumstances)".
Впрочем, данная формула действительно очень общая, так как она не устанавливает критериев оценки соответствия метода перечисленным в ней требованиям. Соответственно, и дальнейшие гарантии юридической значимости информации в электронном виде (действительность оферты, акцепта, электронных доказательств) не могли применяться. Поэтому в дальнейшем был разработан специальный Модельный закон об электронных подписях, который уточнил ряд существенных вопросов.
В сопроводительных документах, опубликованных разработчиками этого закона, очень точно определяется цель его принятия: "Модельный закон может помочь в преодолении недостатков разобщенного национального регулирования, создающего препятствия международной торговле, большая часть которых связана с использованием современных средств общения. Неодинаковость и неопределенность национальных режимов регулирования электронных средств связи устанавливают границы на пути распространения деловых связей на международных рынках" *(174).
Структурно документ состоит из трех частей: 1) критерии надежности и достоверности электронной подписи; 2) обязанности сторон по правоотношению, связанному с использованием электронной подписи; 3) признание подписей других государств. Помимо этого, есть некоторые общие положения, касающиеся сферы применения данного закона (коммерция в самом широком смысле этого слова), порядка восполнения пробелов регулирования (общие принципы права), а также положения, устанавливающие принцип автономии воли сторон.
Требования к электронной подписи делятся на две части. Первые конституируют само понятие электронной подписи, они полностью повторяют то, что было в MLEC (перечисляются те же три функции подписи). Вторые формулируют условия, когда конкретная подпись под конкретным документом может быть признана юридически значимой.
Во-первых, данные, представляющие собой электронную подпись, должны быть непосредственно связаны с лицом, подписавшим документ. Это означает, что подпись должна исключать неясность относительно того, кто ее поставил.
Во-вторых, подписание, в тот момент, когда оно совершается, должно быть подконтрольно только подписывающему лицу. Предполагается, что лицо само, выражая свою волю, подписывает документ, и никто не может поставить его подпись без его ведома. Если кто-либо действует от имени другого лица (лиц), то применяются общие правила о представительстве.
В-третьих, любое изменение электронной подписи, сделанное после подписания, должно быть доступно для выявления. Это требование, во-первых, не касается изменений подписанного документа, во-вторых, не означает, что измененная подпись утрачивает юридическую силу. Просто все изменения должны быть известны контрагенту, который и будет принимать решения.
В-четвертых, если по закону подпись требуется для подтверждения целостности подписанного документа, любое изменение в нем, сделанное после подписания, должно быть доступно для выявления. Это требование является стандартным для ЭЦП, т.е. подписи, сделанной с использованием средств криптографии, но не обязательно для других видов электронной подписи. Поэтому разработчики и ввели ограничительное условие применения этого требования.
Проблема сочетания вопросов права и вопросов технологии решена в MLES способом, ставшим уже традиционным. Если обычное, "бумажное" правоотношение связано, как правило, с деятельностью двух сторон-контрагентов, то в случае с применением электронной подписи необходимо появление третьего лица. Это должно быть некое пользующееся доверием лицо, которое могло бы удостоверить по требованию одной или обеих сторон, что подпись была совершена лицом, указанным в качестве подписавшего документ. Иными словами, такой посредник должен решать вопросы техники. В MLES он называется "сертифицирующий провайдер" (certification service provider). При этом на самом деле количество лиц в правоотношении может быть как меньше, так и больше трех. Их может быть два, если достоверность подписи может проверить сама получившая сторона; четыре и более, если функции проверки подписи разделены между несколькими лицами.
MLES устанавливает права и обязанности сторон. Основной обязанностью подписывающего является сохранение конфиденциальности информации, составляющей электронную подпись. При этом в случае утраты контроля над этой информацией он должен немедленно поставить об этом в известность сертифицирующего провайдера. Впрочем, ответственность за невыполнение этой обязанности не установлена, следовательно, непонятно, будет ли сторона, нарушившая эту обязанность, нести ответственность за возможный ущерб (например, если кто-либо воспользуется ее подписью). Разработчики относят это на усмотрение национального законодателя.
MLES устанавливает принцип сотрудничества сторон: сертифицирующий провайдер должен уведомлять о возможных проблемах, связанных с использованием подписи. Сторона, получившая подписанный документ, должна своевременно обратиться к провайдеру для проверки правильности подписи. Подпись, подтвержденная провайдером, имеет юридическую силу.
Вторым центром правовой работы международного уровня стал Европейский Союз. В ЕС было принято две упоминавшихся ранее директивы, регулирующих вопросы применения электронных подписей: Директива 1999/93/EC об электронных подписях и Директива 2000/31/ЕС об электронной коммерции.
Директива об электронных подписях по содержанию во многом напоминает Модельный закон об электронных подписях (MLES), однако структура их несколько отличается. Если в MLES основное внимание обращается на проблемы действительности подписи, а также права и обязанности сторон, то указанная директива стремится прежде всего создать организационный аппарат по работе с электронными подписями, установить рамки для работы этого аппарата.
Само понятие электронной подписи в данной директиве разбивается на два. Выделяется простая электронная подпись, т.е. некоторая прикрепленная информация, которая служит целям аутентификации, а также усиленная (advanced). Различие между ними проводится довольно последовательно, например устанавливаются разные процедуры их признания, если они сделаны за границей.
Юридическая сила подписи ставится, как это было и в MLES, в зависимость от признания ее самой, а также механизма, с помощью которого она была выработана, сертифицирующим провайдером. Статья 5 Директивы об электронных подписях устанавливает следующее: усиленная электронная подпись, прошедшая сертификацию, выработанная при помощи безопасного (secure) механизма, имеет ту же силу, что и собственноручная подпись, и может быть признана в качестве доказательства. Впрочем, это не означает, что несертифицированные подписи не могут признаваться сторонами.
Директива об электронной коммерции устанавливает общее требование о признании документов, подписанных электронной подписью: страны - участники ЕС должны гарантировать, что ограничения, связанные с использованием электронных подписей, не должны существенно затруднять договорные отношения сторон и лишать документы, подписанные электронной подписью, равной юридической силы с традиционными документами.
Директива об электронных подписях предусматривает, что страны - участники ЕС должны создать систему сертифицирующих провайдеров. Сама процедура их создания отнесена на усмотрение государств, однако, во-первых, устанавливаются принципы недискриминации по территориальному признаку и невозможности ограничения числа провайдеров; во-вторых, устанавливаются общие права и обязанности, а главное - ответственность провайдеров. Провайдеры должны гарантировать действенность электронных подписей, в противном случае они отвечают за возможные убытки. Добавляется также отдельная статья, касающаяся охраны информации, составляющей личную тайну (ст. 8). Предусматривается, что провайдер может собирать сведения о лице лишь постольку, поскольку это необходимо для сертификации. В других целях информация может собираться только с прямо выраженного согласия лица.
Помимо системы сертифицирующих провайдеров, указанная директива предусматривает создание органа межгосударственного контроля - Комитета по электронным подписям при Еврокомиссии. Он наделяется совещательными полномочиями и должен разрабатывать проекты решений комиссии о принятии мер в области применения электронных подписей.
За Еврокомиссией при этом оставляется право регулировать вопросы унификации технических стандартов, принятия иных оперативных мер, необходимых для устранения необоснованных препятствий в международной торговле.
Если сравнивать эти документы двух международных организаций - MLES UNCITRAL и Директиву об электронных подписях, можно обнаружить разницу в подходах к регулированию. Они одинаково определяют понятие электронной подписи, создают одинаковую структуру правоотношения "отправитель - получатель - провайдер". Но при этом подход Директивы об электронных подписях более точен и более жесток. Устанавливаются права, обязанности, ответственность сторон, критерии признания подписи обретают характер замкнутого перечня, делается упор на сертификацию подписей, хоть она и не является обязательной. Это ведет к унификации внутри ЕС, но осложняет взаимодействие с другими государствами. Приняв Директиву об электронных подписях, ЕС не смог решить задачу включения своего информационно-правового пространства в общемировое.
Впрочем, здесь необходимо отметить, что ряд авторов иначе оценивает результаты принятия директив ЕС. В частности, М. Дутов отмечает следующее: "Текущая позиция ЕС относительно правового регулирования электронного документооборота включает в себя достижение некоторых результатов - это главным образом развитие единообразных законов в независимых государствах с очень различающимися правовыми системами и традициями. Для того чтобы уяснить всю сложность вопроса, необходимо помнить, что цель Европейского Сообщества состоит не в создании единообразного законодательного порядка, а в содействии торговле, развитию инвестиционной деятельности и свободы передвижения граждан. Поэтому, несмотря на присутствие гармонизации законодательства в определенной степени, она представляется всего лишь одним из средств достижения главной цели, и уж никак не является самой целью" *(175).
Приведенное высказывание очень важно для понимания сложившейся в рамках ЕС ситуации: гармонизация законодательства об электронных подписях не является итоговой целью этих директив. Однако так или иначе эта гармонизация происходит. И, к сожалению, хотя единый рынок ЕС в результате укрепляется, сложности в отношениях с государствами - не членами ЕС только увеличиваются.
Из национального правового опыта отдельных зарубежных стран наибольшего внимания заслуживает опыт ФРГ, США и Франции.
В Германии основным актом, регулирующим применение ЭЦП, является Акт об общих условиях использования электронных подписей 2001 г., являющийся преемником существовавшего до этого Акта об электронных цифровых подписях 1997 г. Акт устанавливает сравнительно жесткую систему признания юридической силы за электронными подписями и оборота средств создания и проверки электронных подписей, а также предусматривает необходимость образования системы сертифицирующих провайдеров.
Лицо, намеревающееся осуществлять деятельность в качестве сертифицирующего провайдера, должно доказать, что оно обладает надлежащей надежностью, а его сотрудники обладают знаниями, умениями и навыками, необходимыми для осуществления данной работы. Должно быть обеспечено соответствие указанным требованиям на всем протяжении деятельности сертифицирующего провайдера. Органы, осуществляющие государственное регулирование в этой области, могут уточнять данные требования.
Сертифицирующие провайдеры могут быть аккредитованы государственными органами. Аккредитация подтверждает, что сертификат данного провайдера обеспечивает надлежащий уровень надежности, проверенный путем прохождения технических и административных процедур.
Задачей деятельности сертифицирующего провайдера является достоверная идентификация лица, которое обращается за сертификатом подписи. Сертификат подписи должен быть доступен каждому лицу в любой момент времени через телекоммуникационные сети, с тем чтобы любое лицо могло проверить подпись, подтверждаемую данным сертификатом.
В случае нарушения сертифицирующим провайдером требований закона и иных положений, регулирующих его деятельность, а также в случае нарушений работы его технических средств, он должен возместить все убытки, возникшие вследствие того, что лицо добросовестно полагалось на достоверность выдаваемых сертификатов.
Средства создания, хранения и проверки электронных подписей должны соответствовать требованиям, устанавливаемым законом. Проверку соответствия используемых средств электронных подписей данным требованиям осуществляет специально аккредитованная служба. Закон устанавливает порядок и основания наделения ее соответствующими полномочиями.
В Соединенных Штатах на федеральном уровне было принято два документа. Первым стал Модельный закон об электронных сделках (Uniform Electronic Transactions Act, 1999 (далее - UETA)). Вторым - Акт об электронных подписях в глобальной и национальной торговле (Electronic Signatures in Global and National Commerce Act, 2000 (далее - E-sign Act)) *(176). Они стали базой для законов об электронных подписях, принятых в настоящее время в 49 штатах.
UETA изначально создавался не как кодекс, т.е. некий всеобъемлющий акт, касающийся всех возможных случаев применения электронных подписей, а как модель закона, приспосабливающего существующее законодательство к новому виду деятельности. В официальном комментарии к UETA это особо подчеркивается: "Целью UETA является преодоление существующих препятствий для электронной коммерции путем придания юридической силы электронным документам и электронным подписям. UETA не является статутом, кодифицирующим договорное право - основные нормы договорного права остаются неизменными. Также это не статут об электронных цифровых подписях. UETA призван лишь дополнять и поддерживать то законодательство об ЭЦП, которое уже есть в штатах".
Указанный акт также не уделяет особого внимания технической стороне вопроса. Определение электронной подписи по этому акту охватывает собой фактически любой способ подписания (ЭЦП, отпечаток пальца, сканирование сетчатки глаз, образец голоса), главное - намерение лица, совершающего подпись, подписать документ - в том смысле, в котором это употребляется в бумажном документообороте. В данном акте нет упоминания и про обязательную сертификацию подписей, это вопрос bona fide сторон либо экспертизы в рамках судебного разбирательства.
В целом, согласно UETA, электронным документам и электронным подписям (в основном в коммерческом обороте, так как это составляет основной предмет регулирования E-sign Act) будет придано юридическое значение, аналогичное бумажным документам ("форма представления договора, иного документа или подписи - электронная или бумажная - сама по себе не влечет различий в его юридическом признании"). Данный акт, впрочем, устанавливает ряд исключений из этого правила, например сделки с недвижимостью, траст, завещания. Перечень исключений, предлагаемых актом, не очень четкий, но вполне очевидный; в различных штатах он отличается не очень сильно.
Вопрос электронных подписей непосредственно на федеральном уровне был урегулирован E-sign Act. Он повторяет правило UETA о равном признании электронной и бумажной подписи, электронного и бумажного документа. При этом особо подчеркивается, что подписанный документ может повлечь как положительные, так и отрицательные последствия, например в случае мошенничества, подписания без законных на то полномочий, а также в других случаях, предусмотренных традиционным законодательством (нормы о пороках воли и волеизъявления).
Обсуждаемый акт рассматривает также некоторые специальные случаи использования электронных подписей. Например, электронная подпись может быть нотариально заверена (тоже электронным путем). Сфера применения электронных подписей ограничивается в вопросах наследования, семейного права, вынесения судебных решений, иных отношений с участием государственных органов, а также при передаче предметов, опасных для жизни и здоровья людей. Особое внимание уделяется применению электронных подписей в отношениях с участием потребителей. Здесь оговаривается право потребителей на получение всей необходимой информации, связанной с использованием электронной подписи, рассматривается возможность потребителя отозвать свою подпись и последствия такого отзыва.
Во Франции внедрение механизмов использования электронных подписей было осуществлено путем внесения точечных изменений в Гражданский кодекс (ФГК) применительно к доказыванию совершения сделки в письменной форме и принятия Декрета об электронной подписи, развивающего положения ФГК. В качестве письменных доказательств теперь признаются "буквы и цифры или любой другой знак или символ, значение которого может быть легко уяснено вне зависимости от способа создания и передачи" *(177). В качестве условий признания действительности такого АСП выдвигаются два традиционных требования: аутентификация лица, от которого исходит сообщение, и подтверждение неизменности сообщения. Кроме того, устанавливается правило о равном юридическом значении документов в бумажной и электронной форме; при наличии расхождений между ними суд должен в каждом конкретном случае решить, какой из документов имеет бульшую доказательственную силу.
Требования к электронной подписи, как и в MLES, основаны на функциональном подходе. Электронной подписью признается любая прикрепленная к документу совокупность данных в электронной форме, если она указывает на лицо, подписавшее документ, и подтверждает его согласие принять на себя обязательства из подписанного документа. Однако при этом в статье все-таки вводится понятие, аналогичное усиленной подписи указанных директив ЕС: во французском законодательстве, впрочем, использован термин, скорее переводимый как "безопасная (надежная) электронная подпись". К такой подписи предъявляются следующие требования:
- подпись должна быть неразрывно связана со сформировавшим ее лицом;
- подпись должна быть сформирована с использованием средств, которые подписавшее документ лицо могло полностью контролировать;
- подпись должна быть соединена с подписанным документом таким образом, чтобы любое изменение в документе могло быть выявлено.
При анализе данного документа М. Дутов отмечает: "Таким образом степень безопасности и надежности поднята до уровня, который соответствует технологии цифровой подписи. Однако важно заметить, что другие технологии и средства обработки документов не исключаются. Шифрование открытым ключом используется только в качестве примера, и до тех пор, пока не будут найдены похожие стандарты, необходимо будет использовать защищенную подпись". То есть, несмотря на кажущуюся либеральность французского законодательства об электронных подписях, реально оно практически полностью повторяет подход, воплощенный в обсуждаемых директивах ЕС и в германском Акте об общих условиях использования электронных подписей 2001 г.