Квалифицированная электронная подпись или „КЭП“ часто используется как синоним общего термина „электронная подпись“ в ЕС и Болгарии. Однако следует сразу уточнить, что электронные подписи бывают 3 разных типов – „обычные“, усовершенствованные (УЭП) и квалифицированные (КЭП). Данный вопрос регулируется болгарским законодательством и Регламентом (ЕС) № 910/2014 Европейского парламента и Совета от 23 июля 2014 года об услугах электронной идентификации и сертификации для электронных сделок на внутреннем рынке и отмене Директивы 1999/93/EC.
- „Обычная“ электронная подпись, согласно Европейскому регламенту и законодательству, представляет собой данные в электронной форме, которые добавлены к другим данным в электронной форме или логически связаны с ними и которые владелец электронной подписи использует для подписания. То есть, здесь нет никаких требований, кроме логически связанных данных в электронной форме. Из этого следует, что даже простая подпись по электронной почте или подпись ручкой на бумаге, которая затем была отсканирована и сохранена в электронном виде в формате JPG или PNG и вставлена в файл PDF или DOCX, также представляет собой электронную подпись по смыслу действующего законодательства. Следует иметь в виду, что в случае сканированных подписанных документов прецедентное право придерживается более определенной позиции.
- Усовершенствованная электронная подпись (УЭП) должна отвечать большему количеству требований, и самой популярной является DocuSign. Прежде всего, он должен быть уникально связан с владельцем, чтобы его можно было идентифицировать. Она также должна быть создана с использованием данных для создания электронной подписи, которые находятся под контролем владельца, но самое главное — она должна обладать технической возможностью отслеживать несанкционированные изменения в подписанном документе. Последняя возможность отсутствует по умолчанию в „обычной“ электронной подписи, что значительно облегчает ее подделку. Обычная и усовершенствованная электронные подписи имеют юридическое значение собственноручных подписей только в силу юридической фикции, когда стороны договорились об этом, т.е. стороны согласны, что эти два вида электронной подписи эквивалентны собственноручной подписи ручкой на бумаге.
- Квалифицированные электронные подписи (КЭП) отвечают самым высоким требованиям, поэтому, согласно законодательству ЕС, КЭП имеют абсолютную доказательную силу в отношении их авторства. За некоторыми исключениями, конечно, такими как подписание акта, которое по закону должно быть сделано не онлайн, а лично, наиболее „аналогичным“ способом — путем написания от руки чернилами и соответствующим письменным прибором в присутствии нотариуса, который лично удостоверил личность подписанта. Согласно закону, КЭП на практике является УЭП + 2 дополнительных требования — а/ быть созданным устройством для создания КЭП и б/ быть основанным на сертификате КЭП. Проще говоря, сертификат КЭП — это база данных, содержащая записи обо всех КЭП, выданных данным квалифицированным поставщиком сертификационных услуг (в Болгарии их всего несколько — „ИНФОРМАЦИОННО ОБСЛУЖВАНЕ“ АД [StampIT], „БОРИКА — БАНКСЕРВИЗ” АД [B-trust], «ИНФОНОТАРИ» ЕАД [InfoNotary], „СПЕКТЪР” АД, „СЕП БЪЛГАРИЯ” АД. Устройство для создания КЭП — это аппаратная часть, предоставляемая провайдерами, обычно состоящая из USB-устройства (так называемого флеш-накопителя), в которое вставляется память (обычно SIM-карта), на которой содержатся данные для КЭП.
Электронный документ — это любой контент, хранящийся в электронной форме, в частности, текст или звуковая, визуальная или аудиовизуальная запись. Закон гласит, что „письменная форма считается соблюденной, если составлен электронный документ, содержащий электронное заявление“. Электронные документы признаются полностью действительными даже в качестве доказательств в суде, где они приравниваются по силе к обычным письменным бумажным документам. Такой документ может быть представлен в суд в случае судебного спора в бумажном виде, заверенный стороной, его составившей. Однако не исключено, что противная сторона или суд могут потребовать предоставления документа в электронной форме.
Успешное оспаривание или доказательство подделки электронного документа и электронной подписи зависит в первую очередь от их типа. На первый взгляд, легче всего оспорить электронный документ, подписанный простой электронной подписью, например, сообщение электронной почты, которое может содержать как одностороннее выражение намерений (например, приглашение, заявление, уведомление и т.д.), так и двусторонний договор, с которым должны согласиться обе стороны (получатели электронной почты). Согласно прецедентному праву, электронные сообщения, которыми обмениваются две стороны, представляют собой электронные заявления и могут служить доказательством коммерческой сделки. В Болгарии, однако, электронное сообщение считается доставленным и полученным по смыслу закона, когда оно получено в информационной системе адресата или другой информационной системе, и успешная связь между двумя серверами является достаточной, чтобы предположить соединение и обмен данными между двумя информационными системами, и, соответственно, предположить, что сообщение было доставлено, и тот факт, что получатель не открыл свою электронную почту, не имеет юридического значения, даже если, например отправленное сообщение может быть воспринято как вредоносная программа (malware) или спам (spam) и удалено с сервера, при этом сообщение никогда не попадет в почтовый ящик получателя. Когда речь идет о сделках на многие тысячи или миллионы левов, возможны и „виртуозные“ спектакли, направленные на обход закона, например, подмена электронной почты (e-mail spoofing), когда электронное письмо кажется абсолютно подлинным и отправленным с соответствующего электронного почтового ящика, но судебный технический эксперт может обнаружить скомпрометированные записи на соответствующем хостинг-аккаунте, которые в сочетании с другими доказательствами указывают на намеренную отправку неаутентичного (поддельного) сообщения электронной почты. Или, например, отправка вполне действительного уведомления об отмене, содержащегося в электронном письме, которое, однако, намеренно включает в себя визуально сливающиеся с фоном записи, которые, однако, обнаруживаются фильтрами поставщика услуг электронной почты и увеличивают так называемый „мошеннический“ контент-spam score. Спамом считается сообщение электронной почты, которое попадает в систему адресата (т.е. с юридической точки зрения считается, что оно дошло до адресата), но сразу после этого прекращается как незапрашиваемое коммерческое сообщение и вообще не попадает в электронный почтовый ящик адресата. В таких ситуациях рекомендуется вмешательство компетентного юриста или технического специалиста, который может выявить такие незаконные действия и защитить интересы представляемого лица.
КЭП в принципе не подлежит оспариванию. Это также относится к случаям, когда владелец КЭП предоставил свои идентификационные данные третьему лицу, и третье лицо фактически подписало документ, а не владелец. Однако в данном случае закон допускает оспаривание самим владельцем, но это будет иметь силу только в будущем. Однако важно помнить, что авторство не может быть оспорено, но ряд других атрибутов электронного документа — да, например, дата подписания документа. Опытный адвокат по ИТ-правовым вопросам знает, что существуют различные типы КЭП, некоторые из которых включают дату подписания (time stamp) и наличие или отсутствие таковой может привести к успешному оспариванию электронного документа.
Действительность и возможность оспаривания электронной подписи связана с глубоким знанием различных технических характеристик КЭП, которые содержатся в Регламенте (ЕС) № 910/2014.
- Возможные форматы самого КЭП:
-
- CAdES — обновление популярного формата CMS/PKCS7, позволяет различные уровни подписи всех видов файлов. Расширения файлов этого формата — .p7m (для типа подписи ENVELOPING) и .p7s (для типа подписи DETACHED).
- PAdES — только для подписания PDF файлов, разрешен только тип подписания ENVELOPED, а расширение после подписания остается .pdf.
- XAdES — только для подписания XML файлов, единственный, который поддерживает все три типа подписания — ENVELOPED, ENVELOPING и DETACHED, а расширение после подписания остается .xml.
- Возможные форматы файлов после подписания:
- ENVELOPED — 2 в 1, подпись интегрируется в подписанный файл, а расширение файла остается прежним, применяется к PAdES, XAdES.
- ENVELOPING — 2 в 1, весь подписанный файл «вставляется» в файл подписи и расширение файла изменяется, применяется к CAdES и XAdES.
- DETACHED — подпись и документ находятся в 2 отдельных файлах (1 файл оригинала + 1 файл подписи), применяется к CAdES и XAdES.
- Возможные уровни подписи:
- BASELINE_B — самый базовый возможный уровень электронной подписи. Он удостоверяет только авторство подписанного документа.
- BASELINE_T — BASELINE_B + добавлен атрибут метки времени (time stamp).
- BASELINE_LT — BASELINE_T + добавлены атрибуты CRL и OCSP, обеспечивающие действительность подписи путем проверки только подписанного файла, не требуя дополнительных проверок, таких как статус сертификата КЭП или поиск в цепочке сертификации сертификата КЭП.
- BASELINE_LTA — BASELINE_LT + добавлены атрибуты, позволяющие периодически обновлять сертифицированное время и проверять подпись спустя долгое время после ее создания. Проще говоря, даже если в один прекрасный день поставщик КЭП прекратит свое существование, вместе с базой данных, в которой можно проверить действительность документа, подписанного с помощью КЭП, последний все равно можно будет проверить.