Электронная подпись и наличные в законодательстве РФ и ЕС
Законодательный аспект регуляции системы
электронных платежей редко
рассматривается, о часто вообще
игнорируется фирмами, ведущими бизнес
через Интернет. Кто-то, может быть, слышал о
том, что с недавних пор в России действует
закон "Об электронной цифровой подписи",
но немногие знакомы с особенностями
регулирования этой сферы на Западе. Между
тем, "у них" есть чему поучиться, так
как в Европе законодательное регулирование
электронной коммерции разработано, не в
пример российскому, более подробно и
качественно. Но сначала посмотрим, какие
законы в этой сфере действуют сейчас в
России.
Электронная подпись в России. Первые шаги
Сегодня в Российской Федерации сферу
электронной коммерции (а значит, и
электронных платежей) на законодательном
уровне регулирует только федеральный закон
"Об электронной цифровой подписи",
одобренный 26 декабря 2001 года Советом
Федерации и подписанный Президентом РФ В. В.
Путиным 10 января 2002 года. Принятие этого
закона поставило нас в один ряд с
передовыми государствами мира.
Существование и действие этого закона
является одним из условий принятия России в
ВТО. Во многом это объясняет ту спешку, с
какой закон был принят и которая, конечно,
не могла не отразиться на его качестве.
Правовое регулирование в сфере ЭЦП кроме
самого закона об ЭЦП осуществляется в
соответствии с Гражданским кодексом
Российской Федерации, федеральным законом
"Об информации, информатизации и защите
информации", федеральным законом "О
связи", другими федеральными законами и
принимаемыми в соответствии с ними иными
нормативными правовыми актами Российской
Федерации, а также по соглашению сторон.
В Госдуме сейчас рассматриваются
законопроекты "Об электронном документе",
"Об электронной торговле", "О
предоставлении электронных и финансовых
услуг" и др. В их ряду закон "Об ЭЦП"
должен был быть только техническим
дополнением. Однако жизнеспособность
названных законопроектов вызывает
сомнения, а сроки их принятия находятся под
вопросом.
Под электронной цифровой подписью в законе
понимается реквизит электронного
документа, полученный в результате
криптографического преобразования
информации с использованием закрытого
ключа ЭЦП и предназначенный для защиты
документа от подделки, а также для
идентификации обладателя ЭЦП.
Принадлежность закрытого ключа ЭЦП
определенному лицу удостоверяется
сертификатом, выдаваемым удостоверяющим
центром. Каждый участник информационной
системы может владеть любым количеством
сертификатов. Однако электронный документ
с ЭЦП будет иметь юридическую силу лишь в
рамках отношений, указанных в сертификате
ключа подписи. Таким образом, документы,
подписанные одним лицом, но разными ЭЦП,
могут иметь различную юридическую силу.
Важную роль в процессе использования ЭЦП
играют удостоверяющие центры. Именно из-за
них и возникало большинство споров при
обсуждении законопроекта. В законе "Об
ЭЦП" не сказано прямо, какой уставной
капитал должны иметь такие центры, но при
этом говорится: "удостоверяющий центр
должен обладать необходимыми
материальными и финансовыми возможностями,
позволяющими ему нести гражданскую
ответственность перед пользователями
сертификатов ключей подписей за убытки,
которые могут быть понесены ими вследствие
недостоверности сведений, содержащихся в
сертификатах ключей подписей". В то же
время "требования, предъявляемые к
материальным и финансовым возможностям
удостоверяющих центров, определяются
Правительством Российской Федерации по
представлению уполномоченного
федерального органа исполнительной власти",
то есть "уполномоченному органу"
открыто широкое поле для маневра. К тому же
деятельность удостоверяющего центра
подлежит лицензированию в соответствии с
законодательством Российской Федерации о
лицензировании отдельных видов
деятельности. Таким образом, сфера
электронной коммерции оказалась чрезмерно
зарегулированной первым же законом.
Уполномоченный федеральный орган
исполнительной власти ведет единый
государственный реестр сертификатов
ключей подписей самих удостоверяющих
центров, обеспечивает свободный доступ к
этому реестру и выдает сертификаты ключей
подписей уполномоченным лицам
удостоверяющих центров. Этими подписями
заверяются сертификаты, выдаваемые
участникам информационных систем общего
пользования. Сложность этой системы можно,
конечно, объяснить заботой о безопасности
проводимых операций, но все же власть
федерального уполномоченного органа
выглядит чрезмерной, ведь он может выдать
сертификат уполномоченному лицу
удостоверяющего центра, а может и не выдать.
ЭЦП может применяться для подписания
государственных документов, принимаемых
федеральными органами. При наличии
необходимых сертификатов она может
заменять подпись или печать должностного
лица, представляющего госорган. Применима
она и для документов корпоративных
информационных систем, которые, впрочем, в
вопросе использовании ЭЦП довольно
независимы от внешних организаций: порядок
использования ЭЦП в корпоративной
информационной системе устанавливается
решением ее владельца или соглашением ее
участников. Ими же определяются содержание
информации в сертификатах. порядок ведения
их реестра и хранения аннулированных
сертификатов, случаи утраты сертификатами
юридической силы. Таким образом, налицо
либеральность закона "Об ЭЦП" в
отношении частного бизнеса.
Электронная подпись на Западе. Опыт
законотворчества
На Западе электронные документы и
электронные платежи внедряются с середины
90-х годов. Тогда же оформились три различных
по степени детализации подхода к
требованиям, предъявляемым к электронной
подписи. Первый, самый общий, предъявляет к
электронной подписи те же требования, что и
к обычной, включая уникальность,
возможность верификации и "подконтрольность"
использующему ее лицу. Второй предполагает,
что подпись, кроме того, должна быть связана
с передаваемыми данными таким образом. что
если они изменяются, то подпись становится
недействительной. Наконец, третий подход
выдвигает наиболее детализированные
требования к электронной подписи, в
частности, предусматривает использование в
ЭЦП криптографической технологии
открытого ключа.
Американское федеральное правительство
считает законными все электронные подписи,
признаваемые обоими контрагентами по
сделке, будь это хоть отпечаток пальца. Даже
файл с текстом закона "Об электронных
подписях в глобальной и национальной
торговле" (американский аналог закона
"Об ЭЦП)" был подписан Биллом Клинтоном
факсимильной копией его собственной
подписи, которую он вывел на компьютерном
графическом планшете.
В России, как видим, победил третий подход к
определению того. что может являться
электронной цифровой подписью. В свое время
вокруг этого положения было сломано много
копий, но в итоге с подачи ФАПСИ приняли
самый жесткий "правительственный"
вариант закона. Теперь средства шифрования
должны будут обязательно
сертифицироваться в ФАПСИ, что должно, по
мнению представителей спецслужбы, уберечь
участников рынка от использования
некачественной технологии, которую можно
будет взломать.
В Европе же в основу законодательства
положен второй из перечисленных подходов. В
Директиве об электронных подписях (ДЭП, см.
таблицу на врезке), принятой в 1999 году, под
электронной подписью (ЭП) понимаются данные
в электронной форме, присоединяемые к
другим данным или логически связанные с
ними (предметный признак ЭП) и служащие для
их аутентификации (функциональный признак
ЭП). В частности, ЭП не может быть лишена
юридической силы исключительно на том
основании, что она была создана без
использования квалифицированного (см. ниже)
сертификата или защищенного программного
средства. Несомненная либеральность закона
в этом отношении очень важна при защите от
чиновничьего произвола.
Чтобы снизить опасность подделок
незащищенных ЭЦП, в Директиве содержится
определение "усиленной электронной
подписи", которая должна быть:
1. Однозначно связана с подписавшим лицом.
2. Достаточна для идентификации этого лица.
3. Создана с использованием средств,
находящихся под единоличным контролем
подписавшего лица.
4. Связана с данными, к которым она относится,
таким способом, что любое последующее
изменение этих данных становится очевидным.
Это определение достаточно точное, чтобы
избежать двусмысленностей, но в то же время
не требует наличия каких-либо "уполномоченных
органов". Для проверки электронной
подписи используется сертификат -
электронное удостоверение, которое
связывает данные для проверки электронной
подписи с определенным лицом и
подтверждает идентичность этого лица. Есть
еще и "квалифицированный сертификат",
отвечающий специальным требованиям,
описанным в Приложении 1 к ДЭП, и выданный
сертифицирующим органом, который
соответствует требованиям Приложения II к
ДЭП. Несмотря на наличие таких определений,
текст Директивы является технологически
нейтральным - ее цель состоит в том, чтобы
гарантировать максимальную безопасность, а
не требовать использования конкретного
устройства или метода создания электронной
подписи.
В настоящее время во многих государствах
уже приняты законы, регулирующие сектор
электронной коммерции (в частности вопросы
электронной подписи). Естественно, что они
отличаются друг от друга, прежде всего в
степени закрепления регулирующих рынок
функций за государством. Для примера
рассмотрим законодательства Германии и
Великобритании по вопросу электронной
подписи.
В Германии еще в 1997 году вступил в силу
Закон о цифровой подписи, в который был
заложен довольно жесткий вариант
регулирования. Этот закон обладал рядом
недостатков. Прежде всего, он недостаточно
четко закреплял признание равноценности
обычной подписи и ЭЦП. Он был заменен
Германским предложением по основам Закона
о цифровых подписях от 16 августа 2000 года,
принятым Бундесратом 9 марта 2001 года и
вступившим в силу 21 мая 2001 года. Этот более
совершенный закон провозгласил, что
электронные подписи самодостаточны для
признания их равноценности обычным, но по-прежнему
не регулирует вопросы обращения
электронных подписей.
В Великобритании выполнение двух Директив
ЕС (ДЭП и ДЭК) началось с одобрения 25 мая 2000
года Закона об электронных средствах
коммуникации. Он расширил рамки
законодательного признания электронных
подписей. соответствующих определенным
общим критериям и критерию функциональной
эквивалентности. По сравнению с германским,
английский закон намного либеральнее. В нем
значительно упрощен механизм сертификации
подписи. Любое лицо может подтвердить, что
ЭП является достаточным средством для
проверки аутентичности и целостности
информации. Это, конечно, подразумевает
ответственность такого лица за возможные
неблагоприятные последствия.
В целом можно сказать, что европейцы нашли
"золотую середину", уйдя от чрезмерной
зарегулированности. но сделав электронную
подпись достаточно защищенной от подделок.
Электронные наличные в Европе.
Разграничение ответственности
Важной особенностью европейского рынка
электронной торговли является то, что на
нем выпуск электронных наличных разрешен
только кредитным учреждениям. Эта
особенность законодательного
регулирования накладывает отпечаток на
развитие и современное состояние рынка
электронных платежей в Европе,
обусловливая некоторую заторможенность и
отставание от американского. Однако
Директива об учреждениях в сфере
электронных денег (ДЭУ) фактически
приравнивает учреждения-эмитенты
электронных денег к кредитным учреждениям
наряду с классическими депозитно-ссудными
институтами. Это позволяет предположить,
что электронные деньги не будут
значительно отличаться от реальных. И
действительно, в ДЭУ введено понятие "электронные
деньги", определяемое как "денежная
стоимость, представляющая собой требование
к эмитенту, которая:
- хранится на электронном устройстве;
- эмитируется после получения средств в
размере, не менее чем выпускаемая денежная
стоимость;
- принимается в качестве средства платежа
иными предприятиями. нежели эмитент".
Можно сказать, что электронные деньги -
особое требование к эмитенту, возникающее
непосредственно после перевода (внесения)
денежных средств, что подтверждается
электронным устройством, с помощью
которого определяется стоимостный размер
этого требования. Эти требования должны
признаваться третьими лицами, не имеющими
отношения к эмитенту (в силу договора с
эмитентом, который может быть заключен
различными способами).
Это определение, максимально приближающее
электронные наличные к традиционным, можно
назвать классическим, и было бы неплохо
использовать его при подготовке российских
законов в этой области.
В Директивах установлены конкретные
требования как к кругу выполняемых
учреждениями-эмитентами операций, так и к
их финансовым показателям. Выполнение этих
требований должно защитить как
пользователей, так и платежные системы от
возможных мошенничеств.
Статья 4 ДЭУ содержит следующие основные
требования к эмитентам:
1. Первоначальный капитал - не менее 1 млн
евро. Средства компании-эмитента не могут
опускаться ниже этого уровня.
2. В любой момент собственные средства
компании-эмитента - не менее 2% от большего
из двух показателей: текущего объема
финансовых обязательств по выпущенным
электронным деньгам и среднемесячного
объема этих обязательств за предыдущие
шесть месяцев. Если платежная система
функционирует менее шести месяцев (включая
день начала деятельности), то для расчета
среднемесячного объема финансовых
обязательств берутся их целевые показатели
из бизнес-плана данного учреждения.
Возможно, 2% выглядит недостаточно большой
долей для обеспечения надежности системы,
но можно только приветствовать стремление
европейских законодателей создать хоть
какие-то финансовые гарантии для
пользователей и защитить их от возможного
мошенничества владельцев платежной
системы.
С целью защиты прав рядовых пользователей в
Директиве определяются права держателя е-денег
и условия договора с эмитентом:
предъявитель электронных денег имеет право
в течение срока их действия требовать от
эмитента погашения электронной наличности
по номинальной стоимости (наличными или
путем перевода на счет), при этом плата за
погашение не может превышать операционных
расходов. Таким образом, насущный для
отечественных платежных систем вопрос
взимания комиссии с держателя при
погашении электронных наличных решается в
Европе отрицательно. Вместе с тем не
запрещено взимать комиссионные при эмиссии
электронных денег. Допускается и выплата
процентов по наличным, переведенным в
электронный вид.
Еще один важный регулирующий документ -
Рекомендация об операциях с использованием
электронных платежных инструментов от
30.07.1997- должна помогать в защите прав
пользователей платежных систем,
пострадавших от возможных банкротств,
хищений средств со счета, в других подобных
ситуаций. С другой стороны. Рекомендация
защищает эмитентов от необоснованных
требований держателей электронных денег по
возмещению потерь денежных средств из-за
халатности держателя.
Бывает, что деньги похищаются со счета
держателя по его же вине, например по
халатности, или держатель стремится
обмануть эмитента электронных денег,
пытаясь незаконно вернуть деньги после
совершения операции, заявляя о "краже"
денег с его счета. В таких случаях всегда
бывает трудно установить правду, но в ЕС
существуют некоторые ограничения, мешающие
пользователям-мошенникам осуществить их
коварные замыслы.
Держатель обязан (ст. 5 Рекомендации):
- пользоваться инструментом электронных
денег в соответствии с условиями договора;
- извещать эмитента об утрате или краже
инструмента электронных денег или средств,
позволяющих его использовать;
- не записывать свой персональный
идентификационный номер или иной код в
легко распознаваемой форме. в особенности
на самом инструменте электронных денег или
на предметах, которые держатель хранит или
имеет при себе вместе с этим инструментом;
- не отменять поручение, отданное
посредством инструмента электронных денег,
за исключением случая, когда сумма
транзакции не была определена в момент
отправления поручения.
Ответственность держателя в случае утраты
или кражи инструмента электронных денег
является неограниченной (то есть к
держателю не применяется правило об
ограничении ответственности).
Естественно, что и держатель электронных
денег должен быть защищен от мошенничества
со стороны платежной системы. Рекомендация
возлагает на эмитента следующие, уже
ставшие стандартными для обычных платежных
систем. обязательства (ст. 3, 4, 7, 9):
- предоставлять держателю возможность
проверить пять последних операций,
осуществленных с использованием
инструмента электронных денег, а также
сумму, хранимую на инструменте на момент
проверки;
- до передачи держателю инструмента
электронных денег предоставлять ему
информацию о договорных условиях,
регулирующих эмиссию и применение данного
инструмента, включая указание на
применимую к договору отрасль права:
- не раскрывать третьим лицам персональный
идентификационный номер держателя или иной
код;
- не направлять держателю инструмент
электронных денег по своей инициативе - за
исключением случая замены инструмента, уже
находящегося у держателя;
- при разногласии с держателем относительно
совершенной операции предъявлять
доказательства того, что ее проведению не
помешал технический сбой или иные
неполадки;
- круглосуточно предоставлять держателю
средства для уведомления эмитента об
утрате или краже инструмента электронных
денег.
Если произошла какая-то накладка не по вине
пользователя системы, то учреждение-эмитент
электронных денег отвечает перед ним за
потерю хранимой на инструменте е-денег
суммы и за ненадлежащее исполнение
операций. Однако с учетом специфики
электронных денег, европейский
законодатель освобождает эмитента
инструментов е-денег от обязанности
принимать все имеющиеся в его распоряжении
разумные меры для прекращения дальнейшего
использования утраченного или украденного
инструмента.
Определения электронных наличных в
Рекомендации и Директиве несколько
различаются: в первом документе делается
акцент на функциональном критерии (возможность
проводить указанные транзакции), а во
втором -на субъектном критерии (требование
к эмитенту, обладающее специфическими
признаками). Определение, данное в
Рекомендации, является более удобным,
особенно в отношении систем электронных
денег децентрализованного типа,
допускающих проведение операций
непосредственно между держателями.
В Рекомендации электронные платежные
инструменты делятся на "платежные
инструменты удаленного доступа" и "инструменты
электронных денег". К первым относятся
инструменты, позволяющие держателю иметь
удаленный доступ к хранящимся на его счете
денежным средствам и производить платеж в
адрес получателя. Они, как правило, требуют
использования персонального
идентификационного кода или иного средства
удостоверения личности. Это платежные
карты (кредитные, дебетовые, с отсроченным
дебетом. расчетные) и системы банковских
услуг, предоставляемых по телефону или
через домашний компьютер (и-банкинг). Эти
виды платежных инструментов выходят за
рамки нашего рассмотрения. Ко вторым
относятся перезагружаемые платежные
инструменты в виде карт. которые хранят
единицы стоимости в компьютерной памяти и
позволяют держателям выполнять сними
различные финансовые операции.
Рекомендация относит к операциям с
электронными наличными перевод денежных
средств (за исключением межбанковского),
получение наличных и загрузку/разгрузку
инструментов электронных денег с
использованием специальных устройств (машин
по выдаче наличности и автоматических
кассовых машин) в помещении учреждения-эмитента
или организации, принимающей платежные
инструменты по договору с эмитентом.
Очень важным является то, что если
допускается применение инструмента
электронных денег для совершения операций
за рубежом, то держателю должна
предоставляться дополнительная информация:
размер комиссий и сборов по транзакциям в
иностранной валюте и справочный обменный
курс, используемый для валютной конверсии (включая
дату его определения). Это очень удобно для
любого человека, выезжающего из своей
страны или заказывающего какой-либо товар
за границей с оплатой в электронном виде.
Эмитент может изменять условия договора в
одностороннем порядке (заблаговременно
персонально уведомив держателя). Считается,
что держатель согласился с новыми
условиями, если через месяц (это
минимальный срок) после уведомления он не
расторг договор.
***
Как видим, сфера электронной коммерции, в
частности сфера электронных платежей, в
Европе регулируется довольно подробно. При
этом право на эмиссию электронных денег
имеют только кредитные учреждения, поэтому
платежные системы рассматриваются как
своего рода банковские учреждения. Отсюда и
ужесточение требований к эмитентам
электронных денег. Вызвано это не только
заботой о сохранении денег клиентов
платежных систем в неприкосновенности и
необходимостью защитить их от мошенничеств,
но и борьбой против отмывания преступных
денег, которой в Европе всегда уделялось
много внимания. Такая жесткая
централизация, конечно, не способствует
быстрому развитию этой сферы электронной
коммерции, зато помогает уберечь клиентов,
с одной стороны, и владельцев платежных
систем - с другой, от возможного
мошенничества и взаимных претензий.
Российским законодателям можно только
посоветовать использовать все самое лучшее
в зарубежном законодательстве и не "изобретать
велосипед".
***
Глоссарий
(составлен по официальным текстам директив
ЕС и юридической литературе)
Услуги информационного общества - любые
услуги. обычно предоставляемые:
1. За вознаграждение.
2. Дистанционно.
3. С использованием электронных средств
обработки и хранения данных.
4. По индивидуальному запросу получателя
услуг.
Координируемая область регулирования (coordinated
field) - установление в национальном
законодательстве тех требований, которые
должны выполняться сервис-провайдером.
Сервис-провайдер - физическое или
юридическое лицо, предоставляющее услуги
информационного общества.
Получатель услуг - физическое или
юридическое лицо, которое для
профессиональных или иных нужд использует
услуги информационного общества, в
особенности с целью поиска информации или
доступа к ней. Получатель услуги является
потребителем, если он/она - физическое лицо,
действующее в целях, не связанных с
торговлей, бизнесом или профессией данного
лица.
Электронная подпись - данные в электронной
форме. присоединяемые к другим данным или
логически связанные с ними и служащие для
аутентификации.
Сертификат - электронное удостоверение,
которое связывает данные для проверки ЭП с
определенным лицом и подтверждает
идентичность этого лица.
Электронные деньги - денежная стоимость,
представляющая собой требование к эмитенту,
которая:
- хранится на электронном устройстве;
- эмитируется после получения средств в
размере, не менее чем выпускаемая денежная
стоимость;
- принимается в качестве средства платежа
иными предприятиями, нежели эмитент.
Кредитное учреждение:
1. Предприятие, деятельность которого
состоит в принятии депозитов или других
подлежащих возврату денежных средств от
неограниченного круга лиц и предоставлении
кредитов за свой счет.
2. Учреждение в сфере электронных денег,
действующее в соответствии с Директивой
2000/46/ЕС от 18 сентября 2000 года (п. 1 ст. 1
Директивы о кредитных учреждениях).
Учреждение в сфере электронных денег -
предприятие или любое другое юридическое
лицо (иное. нежели кредитное учреждение,
указанное в Директиве 2000/12/ЕС). которое
выпускает средства платежа в форме
электронных денег.
***
Из истории вопроса
Основным механизмом законодательного
регулирования в Европе являются Директивы.
Они принимаются Европейским Парламентом и
содержат положения, на основе которых
страны-члены ЕС разрабатывают свои законы.
Директивы устанавливают также четкие сроки
принятия этих законов. Директивы не
предполагают дословного включения в
национальные законодательства, а являются
лишь средством проведения того или иного
единого принципа, конечной целью чего
является экономическое и социальное
развитие всего Европейского Союза.
Формирование правил развития электронной
коммерции было целью разработки двух
документов - Европейской инициативы 1997 г. в
области электронной коммерции и
Предложения Комиссии ЕС 1998 г. по вопросам,
рекомендуемым к включению в Директиву. Но
полноценная законодательная регуляция
сферы электронных платежей началась в
Европейском Союзе только с 2000 года. С 8 июня
2000 г. стала действовать Директива
Европейского Союза 2000/31/EC о некоторых
правовых аспектах услуг информационного
общества, в частности электронной
коммерции, на внутреннем рынке (ДЭК). А 18
сентября 2000 года была принята Директива
2000/46/ЕС об учреждениях в сфере электронных
денег (ДЭУ). Кроме того, электронные платежи
в ЕС Рекомендацией об операциях с
использованием электронных платежных
инструментов от 30 июля 1997 г.
И Рекомендация, и ДЭУ развивают положения
более ранних документов. В основу первого
документа положена Рекомендация 88/590/ЕЕС от
17 ноября 1988 г. относительно платежных
систем. Различие между этими
рекомендациями именно в сфере электронных
денег: если в документе 1988 года
использовался единый термин "платежные
устройства", то в рекомендации 1997 года
было введено понятие электронных платежных
инструментов и выделено два типа таких
инструментов.
ДЭУ создавалась на базе Доклада о
предоплаченных картах, подготовленного
рабочей группой Европейского валютного
института (впоследствии Европейский
центральный банк). Этот доклад посвящался
платежным системам Европейского Союза и
был опубликован в 1994 году (подобное
исследование проводилось в США в 1996 году).
Исследователи посчитали, что необходимо
ограничить круг эмитентов предоплаченных
карт только кредитными учреждениями. Этот
вывод отражен в проекте Директивы,
опубликованном в 1998 году в виде предложения
Комиссии Евросоюза. В окончательном же
тексте Директивы указанное требование было
усилено введением нормы, обязывающей
государства-участников Евросоюза
запрещать проведение эмиссии электронных
денег лицам или предприятиям, которые не
являются кредитными учреждениями. Введение
прямого запрета на эмиссию электронных
денег прочими эмитентами свидетельствует о
стремлении европейских законодателей
ввести в сфере электронных денег
достаточно жесткое регулирование -
подобное тому, которое осуществляется в
банковской деятельности (в США сейчас
подобного запрета нет).
Виктор Тетерин Интернет Финансы
|
|