ЕЛЕКТРОННАТА ТЪРГОВИЯ. ЕЛЕКТРОННИ ПОДПИСИ. ПРАВНИ АСПЕКТИ Автор: Георги Георгиев Димитров Адвокат от Софийска адвокатска колегия Адвокатска кантора ОРАК Димитров, Петров и Ко. Преподавател в СУ “Св. Климент Охридски” Тел./факс: (+359 2) 9877096, 9887360 Ел.поща: george.dimitrov@orac.bg Интернет страница: www.orac.bg
I. КИБЕРПРАВО ИЛИ ПРАВО НА ИНФОРМАЦИОННИТЕ КОМУНИКАЦИОННИ ТЕХНОЛОГОГИИ
И
Свидетели сме на бурното развитие на информационните и комуникационните технологии и превръщането им в среда за осъществяване на отношения между хората. Ежедневие е да ползуваме персоналния компютър за да напишем исковата молба на клиента ни, да проверим в правно-информационната система съдебната практиката по някоя правна норма, да използуваме ICQ, CHAT или SMS за запознанства или виртуални “срещи” с приятели. Действителност е възможността да влезем в правния Интернет портал за да се абонираме за избраното списание или за получаване на месечния дайджест за изменение в законодателството, да поръчаме пица по Интернет, да наредим на банката да осъществи разплащане с нашия контрагент, да ползуваме кредитните си карти за да заплатим стоките в магазина или да теглим пари от банкомата, да разменим десетки дори стотици е-мейли с наши приятели, контрагенти и дори непознати, да ползуваме мобилния си телефон, да гледаме излъчвания през сателитната връзка телевизионен канал и т.н. Свидетели сме и на патологични прояви - неправомерно прониквания в чужди компютърни системи, излагане в Интернет на материали, свързани с детска порнография, инсталиране на вируси и програми за неправомерен отдалечен контрол (т.нар. “троянски коне”) и т.н. Всички ползуваме достиженията на информационните технологии без да обръщаме сериозно внимание на това колко много проблеми от гледна точка на правото тези отношения създават. В подкрепа на изложеното да разгледаме следния пример: български гражданин, който се намира в Ню-Йорк поръчва GSM карта за мобилни разговори във Финландия чрез Интернет по изградена криптирана сигурна (https) връзка от “електронен магазин” (e-commerce site), за който има регистриран домейн в областта .jp (Япония) от сингапурска фирма, която управлява сървъра си чрез офиса си в Австралия, като гражданинът подписва заявката с електронния си подпис, за който има издадено удостоверение за публичния му ключ от испански доставчик на удостоверителни услуги и
�2 плаща с кредитната си карта, издадена от бразилска банка. И за да усложним примера, нека добавим, че връзката между САЩ и Япония се осъществява от израелски Интернет доставчик, който предава сигнала чрез спътник, собственост на Китайска телекомуникационна компания, след това по фиксираните мрежи на 12 страни, обслужвани от 3-ма опорни и 50-тина неопорни доставчика достига от Сингапур до Австралия комбинирано по оптичен кабел и безжична комуникационна линия, собственост на канадска компания. От гледна точка на потребителя нещата изглеждат много елементарно и удобно – сяда в къщи пред компютъра си, влиза в Интернет, попълва заявката и кликва с мишката. От гледна точка на правото обаче, положението не е толкова елементарно. При възникване на необходимост от съдебно решаване на възникнал спор, практиката показва изключителна затрудненост на адвокатите при квалифициране и защита на субективните права на гражданите, от една страна, и на правораздавателните органи от друга. Поставят се редица въпроси: Кое ще е приложимото национално право по отношение качеството на продаваната стоката или услуга? Кое ще е приложимото национално право за защита на потребителя? Как ще се уредят отношенията, ако домейнът, чрез който се продава стоката нарушава регистрирана чужда търговска марка? Кой ще е компетентния съд за разрешаване на възникналия спор? Кога ще е сключен договора? Има ли валиден електронен договор? Е ли той годно доказателствено средство в евентуален процес? По кое право ще се прецени това? Как ще се облага данъчно тази сделка? А какво е домейн? А какво е Интернет сайт? А какво е електронен подпис и какво е значението му за правото? и т.н. и т.н. От изложеното става ясно, че проблеми се откриват в няколко насоки. На първо място следва да се отбележи, че конвенционални отношения със значение за правото възникват и се развиват в едно ново “пространство”, неограничено от териториални граници. Това е виртуалното пространството на електронните комуникации, достъпно посредством информационните технологии – т.нар. “киберпространство”. Дали правото като система от норми е в състояние адекватно да уреди тези отношения или следва да се адаптира е първият основен проблем. На второ място възникват отношения с особен предмет - по повод самите информационни и комуникационни технологии. В много случаи с тези технологии е свързано възникването на нови явления, непознати на правните системи – домейни, Интернет сайтове, Интернет протоколи, хостинг, електронни пари, електронни подписи, електронна поща, и т.н. Пред повечето правни системи по света, а и пред нашата стои проблемът, свързан с разписването на специална нормативна уредба за регулиране на отношения по повод тези нови обекти. На трето място правото като наука се сблъсква с предизвикателството да изследва новите процеси и явления и обществените отношения, свързани с тях,
�3 като даде предложения за изменение на законодателството в случаите, когато това е необходимо. Кибер правото или правото на информационните и комуникационни технологии (т.нар. Information and Communications Technology Law) е тази система от правни норми и институти от различни правни отрасли, които регулират обществените отношения между хората във връзка с използуването на информационните и комуникационни технологии. Така се нарича и правната дисциплина, която следва да изучава новите правни явления и институти. Тя се изучава в повечето от държавите в Европа, САЩ и Азия, но за съжаление все още не се изучава в България. Някои от институтите на кибер правото се изучават откъслечно и понякога не съвсем прецизно от други правни дисциплини: в наказателното право – уредбата на компютърните престъпления и детската порнография, в търговското право – частично уредба на електронната търговия, в облигационното право – уредба на електронните изявления, в гражданскопроцесуалното право – доказателствената стойност на електронния документ и електронния подпис, в правото на интелектуална собственост – защитата на базите данни и софтуера и т.н. Други не се изучават въобще – напр. правна уредба на телекомуникациите – статут и режим на далекосъобщителните оператори, осъществяване на далекосъобщителни сделки, дейността на доставчиците на удостоверителни услуги и т.н. Предвид трудностите, които произтичат от необходимостта от придобиването на един сериозен постамент от технологични познания, за да се разберат голяма част от новите явления и процеси, както и да се осъзнаят особеностите при осъществяването на отношенията от гледна точка на обект и на обективна страна, е необходимо тези правоотношения да се изучават от самостоятелна дисциплина, макар нормите и институтите да са от различен правопорядък и отношенията да се регулират с различни методи. Това, което е безспорен факт, е че нашата действителност вече започна да се сблъсква ежедневно с проблемите, свързани с информационните и комуникационни технологии. Големите проблеми и изпитания за юристите и за цялата ни правна система тепърва предстоят. II. ЕЛЕКТРОННА ТЪРГОВИЯ Целта на настоящата разработка е да даде разяснение на някои правни въпроси, свързани с една от най-важните групи обществените отношения, регулирани от правото на информационните и комуникационни технологии осъществяването на електронна търговия (е-търговия) и с правната същност и използуването на електронните подписи. 1. Понятие за е-търговия?
�4 В медийното пространство се появиха множество статии и коментари относно електронната търговия, но при използуването на това понятие различните автори влагат различен смисъл. Това налага да се направят някои терминологични уточнения. Електронната търговия не е друг вид търговия. Това е друг начин на осъществяване на търговска дейност. Електронната търговия е размяна на блага чрез използуване на електронни средства за комуникация и най-вече на Интернет като бизнес среда и средство. Интернет се превърна в пространство за търговски и бизнес отношения по повод продажба и предоставяне на стоки и услуги, включително техния маркетинг, поддръжка, разпространение и т.н. Често електронната търговия се смесва с нейните два основни компонента или по-скоро разновидности, придобили самостоятелна употреба: Business to Consumer (B2C) и Business to Business (B2B) отношения. Като понятие първият вид - Бизнес до Потребител (B2C), обхваща отношенията между субектите при използуване на мрежата за продажба на стоки и услуги на крайните потребители, а вторият вид - Бизнес до Бизнес (B2B) – отношенията между различни търговци в широк смисъл. Съществува и трета разновидност, която с известни резерви също може да се причисли към електронната търговия, но в тесен смисъл обхваща само правоотношенията между гражданскоправните субекти по повод размяна на блага. Това е т.нар. Consumer-to-Consumer (C2C). 2. Необходимост Логично се поставя въпросът: необходима ли е тази форма на търговия на съвременното общество? Отговорът е: безспорно. Електронната търговия дава няколко съществени предимства пред традиционните форми на търговия: достъп на неограничен кръг потребители от различни райони на света до предлаганите стоки; възможност за поддържане на по-малки складови наличности и по-голяма ликвидност на капитала на търговеца; спестяване на разходи от наем на складове, магазини, заплати на персонал; възможност за започване на търговска дейност при изключително малки по обем инвестиции; липса на необходимост от физическо присъствие на страните и т.н. Бъдещето на търговията въобще е вече безвъзвратно обвързано с електронната търговия. В САЩ и страните на ЕС при осъществяване на търговията през Интернет търговците реализират обороти от милиони и дори милиарди долари. Имена като Amazon, Egghead и т.н. са станали световно известни и са доказали жизнеността и предимствата на електронната търговия. Да може едно лице от всяка една точка на света да придобие визуална представа за предлаганата стока, да разбере нейните качества, да сравни цената й с подобни или същите стоки, предлагани от конкурентите, без реално да напуска дома или офиса си е удобство, което кара хората да купуват, а търговците да продават. По едно изследване на Forrester Research, Inc. при т.нар. business-to-business търговия от оборот 48 милиарда долара през 1998 г., през 2003 г. се очаква оборотът да бъде 1.5 трилиона долара. За продажбите на потребителски стоки – от оборот 3.9 милиарда долара през 1998 г. се очаква ръстът през 2003 г. да е около 108
�5 милиарда долара. Тези цифри са достатъчно внушителни и дават яснота за перспективите в развитието на електронната търговия и без коментар. 3. Правни основи за е-търговията В Европейския съюз основата на уредбата е положена с няколко директиви, най-важните от които са: Директива на Европейския парламент и на Съвета 2000/31/ЕО за електронната търговия и Директива 1999/93/ЕС за правната рамка на електронните подписи. С оглед поетата политическа линия на присъединяване на страната ни към Европейския съюз и ангажиментите за хармонизиране на законодателството ни с acquis communitaire, се наложи необходимостта от създаване на един сериозен правен регламент и в България относно сигурността при осъществяване на електронната търговия. На първо място беше необходимо да се създаде закон, който да признае на електронния подпис валидността на саморъчен такъв, както и на правната валидност на електронния документ и по този начин да се “отключат вратите” за развитието на електронната търговия в България. 4. Правен режим до приемането на Закона за електронния документ и електронния подпис Електронна търговия не само можеше, но се осъществяваше в България и до влизането в сила на Закона за електронния документ и електронния подпис (ЗЕДЕП) и то на една напълно законна основа. Отношенията се регулираха от общите правни норми за извършване на търговска дейност. При това, обаче, липсваше специална законова уредба, която да улесни и гарантира правната сигурност при осъществяване на електронната търговия и развитието на еикономиката въобще. С други думи проблемът се криеше в липса на нормативна уредба за гарантиране сигурността при осъществяване на електронната търговия и за признаването и доказването на определени факти от съществено значение за правото. Извън ЗЕДЕП основните действащи нормативни актове, за които може да се твърди, че уреждат правоотношенията при търговията в широк смисъл и следователно на електронната търговия са Търговският закон (ТЗ) и субсидиарно Законът за задълженията и договорите (ЗЗД). С оглед общите правила за търговия, се прилагат и всички закони, свързани със защита на потребителите (ЗЗППТ), защита на конкуренцията (ЗЗК), специалните закони регулиращи банкова дейност, застрахователна дейност, и т.н. ЗЗД дава общата нормативна уредба на регулиране на облигационните правоотношения между гражданско-правните субекти и доколкото липсва изрична уредба в търговския закон, регулира субсидиарно и търговските правоотношения при всяка форма на търговия, включително електронната действие на договора, права и задължения на страните, изпълнение, неизпълнение и недействителност на договорите и пр. ТЗ урежда сделката при електронната търговия като търговска сделка, независимо от това дали само едната страна има качеството търговец, а другата е потребител - нетърговец или и двете страни са търговци. Съгласно член 293 от ТЗ “За действителността на търговската сделка е необходима
�6 писмена или друга форма само в случаите, предвидени в закон” – т.е . при наличие на постигнато от страните съгласие договорът може да се сключи в произволна форма, включително в електронна. Дори в определени случаи за действителността на изявлението законът да възвежда писмена форма като форма за валидност (напр. ако един потребител изразява съгласието си с общите условия при договор, сключван при общи условия), то и преди влизането в сила на ЗЕДЕП, писмената форма се смяташе за спазена при сключване на договори по електронен път (напр. чрез Интернет). Чл. 293, ал. 4 от ТЗ визира, че “Писмената форма се смята за спазена, ако изявлението е записано технически по начин, който дава възможност да бъде възпроизведено”. Това законодателно решение даваше възможност по търговски сделки и при наличието на досега действащата нормативна база да се счита, че едно електронно волеизявление, направено по електронната поща, чрез кликване на дигитален бутон в определен сайт или отбелязване в “чек бокс”, има правното значение на писмено волеизявление и следва да се приема за такова. Необходимо е да се подчертае, че подобно приравняване на електронната форма към писмената беше възможна само при сключване на сделки, които могат да се квалифицират като търговски, с оглед на субективните и обективни нормативни критерии1, но не и при сключване на сделки, при които и двете страни не притежават качеството търговец по смисъла на Търговския закон, нито сделките могат да се определят като търговски. 5. Кое наложи приемането на нова нормативна уредба? Проблемът в сключването на договорите по електронен път се крие в доказването: че волеизявлението изхожда от лицето, от което се твърди, че изхожда, а не от някой, който се представя за него; че това волеизявление не е променяно от момента на изпращането до момента на получаването; кога е изпратено и получено и т.н. Ето защо проблемът, който до момента в найголяма степен нормативно препятстваше развитието на електронната търговия, не е свързан с действителността на договорите, сключени през Интернет, а в доказване на авторството и съдържанието на волеизявленията на страните по тях. Макар че наличието на подпис като част от писменото изявление не е условие то да съставлява документ, неподписаният документ практически нямаше същата правна стойност на подписания2. В българската правна доктрина и практика към момента беше безспорно положението, че единствено саморъчният подпис съставляваше “подпис” със значение за правото3. Не съставляват “подпис” щампелованите и сканирани такива, дигиталните подписи на електронната поща, прикрепените файлове с данни за лицето, изпратило електронната поща и т.н. Всичко това наложи и необходимостта от приемането на специален закон, който да съдържа уредбата на електронния документ като електронно волеизявление и електронния подпис като доказателство за авторството на това волеизявление. С един такъв закон се цели и повишаване на сигурността на информационния обмен и защитата на данните. В тази връзка и в духа на
Герджиков, О., Търговски сделки, Книга по част трета от Търговския закон, стр.17 Вж. Кючуков, С., ст. “Правни аспекти на “електронния подпис” и “електронния документ””, сп. “Банкови и информационни технологии”, 1997, стр.52 3 Пак там, с.53.
1 2
�7 Директива 1999/93/ЕС и Закона-модел на УНСИТРАЛ за електронна търговия беше приет от Народното събрание Закон за електронния документ и електронния подпис, който влезе в сила от 7 октомври 2002 г. 6. Цел на Закона за електронния подпис и електронния документ Целта на Закона за електронния документ и електронния подпис е да създаде основа за специална уредба на електронната търговия в България. Законът не е достатъчен за да се регулират в цялост отношенията в тази област на обществените отношения, но създава необходимия базис. Законът урежда правния статут на електронния документ, електронния подпис и признава тяхното правно-валидно значение, приравнявайки ги при определени условия на писмения документ и саморъчния подпис. Разпоредбите на закона не се прилагат относно сделки, за които законът изисква квалифицирана писмена форма (нотариална форма, нотариална заверка на подписа, саморъчно изписване на волеизявлението и т.н.) или когато държането на документа или на екземпляр от него има правно значение (ценни книжа, товарителници и други). 7. Сигурност Адекватно следва поставянето на въпроса: как ще се повиши сигурността в оборота с влизането в сила на закона? Техническата сигурност на електронния подпис се постига посредством създаване на определени законови изисквания за генериране и подписване на електронни документи. ЗЕДЕП въвежда изискването за използуване на асиметрична крипто-система, работеща с двойка от частен и публичен ключ, като най-сигурно алгоритмично-техническо решение за постигане на висока степен на сигурност4. За да се гарантира автентичността и интегритета на подписаните електронни документи законът предвижда схема за удостоверяване на притежаване на публичния ключ от точно определено лице посредством издаване на нарочни електронни удостоверения от доверени трети лица – доставчици на удостоверителни услуги. По отношение правната сигурност, със закона се уреждат подробно изискванията към дейността и правата и задълженията на доставчиците на удостоверителни услуги. Разписани са строги правила за издаване на удостоверения, за предоставяне на всяко трето лице достъп до публикуваните удостоверения и т.н. В подзаконовите актове по приложение на закона се конкретизират изискванията към дейността на доставчиците на удостоверителни услуги относно: поддържане разполагаеми средства, които осигуряват възможност за извършване на дейностите в съответствие с изискванията на закона; застраховането им за времето на дейност им за вредите от неизпълнение на задълженията им; разполагането с техническо и технологично оборудване, което осигурява надеждност на използваните системи и техническа и криптографска сигурност на осъществяваните чрез процеси и т.н.5
4 5
Това изискване касае само усъвършенствания и универсалния електронен подпис. Вж. http://www.orac.bg/bg/resources-links/
�8 8. Необходимост от допълнителна нормативна уредба Както вече бе отбелязано, само ЗЕДЕП ведно с Търговския закон, Закона за задълженията и договорите и другите нормативни актове, регулиращи понастоящем правоотношенията между правните субекти при осъществяване на електронна търговия в България, не са достатъчни, за да се постигне една цялостна нормативна регулация. Електронната търговия налага множество специфики и проблеми, свързани с: приложимото национално право; осъществявани он-лайн търговски дейности и предлагането по този начин на информация; механизмите за търсене, достъп и извличане на данни; предаването на информацията чрез комуникационни мрежи или чрез достъп до такива или при съхраняване на информацията, предоставена от получателя на услугите; контрола върху предоставяните чрез електронна търговия услуги и гаранции за защита интересите на субектите; нежелана кореспонденция; специфични задължения и отговорности на доставчиците на такива услуги; особени правила за предотвратяване, прекратяване и отстраняване на нарушения, свързани с достъп, публикуване или съхраняване на информация и т.н.6 De lege ferenda е необходимо приемането на кодификационен закон за електронната търговия, в съответствие с изискванията основно на Директива 2000/31/ЕС и на другите директиви, съдържащи насоки за изменения на законодателствата на страните-членки, касаещи електронната търговия (напр. Директива 97/66/ЕС за обработването на лични данни и запазване на конфиденциалността в телекомуникационния сектор, Директива 98/34/ЕС за техническите стандарти и регулиране Директива 98/27/ЕС за мерките за защита на правата на потребителите, Директива 97/7/ЕС за сближаване на закони, наредби и административни норми на страните-членки във връзка с потребителските кредити и др.), както и на Закона-модел на УНСИТРАЛ за електронна търговия.
III. ЕЛЕКТРОННИ ПОДПИСИ 1. Общи положения Електронният обмен на съобщения през затворени и отворени мрежи като Интернет стана част от нашия живот. Статистиката показва, че ежедневно се разменят няколко милиарда електронни съобщения. Предимствата са безспорни – икономичност, бързина, улеснение, възможност за неограничено съхраняване на стари съобщения, различни форми за комуникация – видеоконференции, IP телефония, електронна поща, чат, форуми, мейлинг листи и т.н. и т.н. Същевременно комуникационните мрежи се превърнаха в среда за размяна на волеизявления между субектите за встъпване в различни санкционирани от правото отношения и особено за размяна на блага.
6
Вж. Директива 2000/31/ЕС от 08 юни 2000 г., преамбюл
�9 Както бе отбелязано, проблемът, с който субектите се сблъскват при този начин на комуникация е свързан със сигурността, целостта и автентичността на изпращаните електронни изявления. С други думи поставя се с острота въпросът как да се установи кой точно е автор на изпратено съобщение, как да се постигне увереност, че съобщението не е променяно от момента на изпращането до момента на получаването и в определени случаи по какъв начин текстът на съобщението да се защити и стане достояние единствено и само на лицето, към което е адресирано. Такова сигурно средство при традиционните средства за комуникация (напр. чрез писмени изявления) е полагането на саморъчен подпис. Особеностите на движенията на ръката и подобността при полагането му, фактът че подписът се полага под текста на изявлението, както и това, че изявлението и подписът за обективирани върху един и същ материален носител дават увереност за автентичността на изявлението, целостта му и възможност за последваща проверка на тези факти. Липсата на подпис води до затруднения и несигурност при установяването и доказването в евентуален процес на авторството на материализираното върху него писмено волеизявление. Когато едно лице не може да положи саморъчен подпис, като субсидиарно средство за автентификация е полагането на отпечатък от палец или друг пръст.7 С развитието на информационните технологии, като аналог на саморъчния подпис и на пръстовия отпечатък, за осигуряване на същата, дори на по-голяма степен на сигурност и възможност за доказване на авторството на електронните изявления, е разработена концепцията за електронния подпис. Правната уредба на електронния подпис е възведена в нашето право от Закона за електронния документ и електронния подпис.8 Целта на Закона е да приравни по правни последици електронната форма на изявленията с писмената, респ. на електронния подпис със саморъчния. По този начин се създава правна основа за изграждане на сигурността на електронния обмен, с оглед валидността, съдържанието и интегритета на електронните изявления.
2. Видове електронни подписи. Правни последици Макар и разработен на основата на Директива 1999/93/ЕС9, нашият закон има особен подход при дефиниране на понятието “електронен подпис” и при уреждането на статута и правните последици на различните видове електронни подписи. С Директивата се възвежда уредба на четири вида подписи: обикновен10, усъвършенстван11, квалифициран12 и разширен13. Нашият закон урежда два
Вж.чл.151 от ГПК Обн. ДВ бр. 34/06.04.2001, в сила от 07.10.2001, изм. бр.112/2001 в сила от 05.02.2002 9 Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community Framework for Electronic Signatures 10 Вж. Чл.2, 1. от Директивата – “electronic signature” 11 Вж. Чл.2, 2. от Директивата – “advanced electronic signature”
7 8
�10 основни вида – обикновен и усъвършенстван и една разновидност на усъвършенствания – универсален подпис. Съществена разлика съществува в правните последици на различните видове електронни подписи. Според Директивата единствено т.нар. “квалифициран подпис” е приравнен по правни последици на саморъчния подпис14. За такъв се счита този, който съдържа реквизити, съгласно Анекс II от директивата, създаден е посредством устройство за сигурно създаване на подписа съгласно Анекс I и за него има издадено удостоверение от доставчик, отговарящ на изискванията на Анекс III от Директивата. Нашият закон възвежда относителна правна сила на различните видове електронни подписи. И обикновения и усъвършенствания електронни подписи са приравнени по правни последици на саморъчния подпис, но само доколкото титуляр или адресат на електронното изявление не е държавен орган или орган на местното самоуправление. Единствено универсалният електронен подпис има значението на саморъчен по отношение на всички.15 3. Обикновен е-подпис “Обикновен подпис” не е легално използувано определение нито от Директивата, нито от нашия закон. То се използува само за улеснение и за отграничението му от другите видове електронни подписи. Според Директивата обикновен електронен подпис е всяка информация в електронна форма, която е прикачена или логически свързана с друга електронна информация и се използува като средство за автентификация. Например подписването на една електронна поща с “Г.Д.” или “Георги Димитров” по смисъла на директивата ще се третира като електронен подпис във всички случаи. Според нашия закон това не винаги ще е така. В повечето случаи подобно подписване въобще няма да се квалифицира като подпис. Обикновеният електронен подпис по нашия закон се третира много постриктно. Ако трябва да се направи някаква аналогия, то обикновеният електронен подпис е приравнен като изисквания с усъвършенствания електронен подпис по смисъла на Директивата. Електронен подпис съгласно чл.13 от Закона е само тази информация, която е свързана с електронното изявление по начин, съгласуван между автора и адресата, достатъчно сигурен с оглед нуждите на оборота, който: а) разкрива самоличността на автора; б) разкрива съгласието на автора с електронното изявление, и в) защитава съдържанието на електронното изявление от последващи промени. Доколкото нашият закон почива на доброволността на използуването на електронната форма за размяна на волеизявления между субектите16, то и
Вж. Чл.5, ал. 1. от Директивата Арг. от чл.3, ал.2 във връзка с (11) от Преамбюла на Директивата 14 Чл.5 от Директивата 15 Чл.13, ал.2 и 3 от ЗЕДЕП 16 Арг. от чл.5 от ЗЕДЕП
12 13
�11 използуването на електронния подпис следва да бъде обусловено от съгласуваната воля на страните. За електронен подпис ще се счита само тази информация, която страните са определили предварително или последващо като начин за идентификация при размяна на електронните изявления. Така например, ако с колегата ми приемем, че ще използуваме нашите инициали положени под разменяните по електронна поща изявления за идентифицирането ни (напр. “Г.Д.” и “Б.П”), то тяхното полагане ще се счита за електронен подпис в нашите отношения. От използуването на законовия термин “съгласуване” може да се остане с погрешно впечатление че е необходимо страните предварително да са определили начина на идентифициране. Такова тълкуване е погрешно. Няма пречка и след размяната на волеизявленията страните да определят, че използуваният начин следва да се счита за електронен подпис. Само съгласуването, разбира се, не е достатъчно. Като елемент от фактическия състав на нормата е възведен относителен обективен критерий – начинът на свързване на идентифициращата информация (електронния подпис) следва да е “достатъчно сигурен с оглед нуждите на оборота”. Поставя се въпрос: за нуждите на кой оборот следва да се преценява “достатъчната сигурност” – въобще за нуждите на оборота на съответните стоки или услуги или на оборота конкретно между субектите (напр. между мен и колегата ми)? Смятам следва да се приеме за правилна втората постановка. Един е оборотът и нуждите от сигурност на търговците на стомана на едро, други са между хлебаря и редовния му клиент. Ясно е че първите ще наложат по-високи изисквания за сигурност, а вторите – по-ниска. Критерият е обективен, защото необходимостта от сигурността на конкретния оборот е факт от обективната действителност, съществуващ извън съзнанието на субектите. От друга страна, обаче, той е и относителен, доколкото степента на сигурност следва да се преценява в зависимост от правните качествата на различните субекти (напр. дали са търговци или не) и правоотношенията, по повод на които разменят волеизявления. За да се определи степента на “достатъчна сигурност” на начина на свързване на идентифициращата информация с електронното изявление, законът предпоставя три кумулативно дадени условия. На първо място е необходимо идентифициращата информация да разкрива самоличността на автора. Това е разбираемо. Средството за идентификация изпълнява ролята си само тогава, когато носи информация, по силата на която адресатът може да изгради пълна увереност, че изявлението изхожда от точно определен автор. Ползуването на инициали, псевдоним, галено име, пълно име, фамилно име, особен символ, често ползуван от автора, прякор и т.н. са все възможни начини за идентифициране, разкриващи самоличността на автора. На второ място е необходимо идентифициращата информация да е свързана с електронното изявление по такъв начин, че да разкрива съгласието на автора с електронното изявление. Докато при традиционните писмени документи полагането на саморъчния подпис под писменото изявление изпълнява успешно тази функция (с някои изключения), то при електронния подпис това
�12 не е задължително. Ако информацията за автора, съдържаща се в служебния идентификакатор на изпратената електронна поща носи достатъчно индивидуализиращи белези за самоличността му, а изявлението е ясно и недвусмислено, то условието да се разкрива съгласието на автора с електронното изявление ще бъде изпълнено. Страните могат да уговорят всякакъв начин на свързване, за да се постигне тази увереност. Много въпроси поставя третата предпоставка за начина на свързване на идентифициращата информация за да се приеме, че е налице валиден електронен подпис. Законът установява, че свързването следва да става по начин, защитаващ съдържанието на електронното изявление от последващи промени. Разглеждането на нормата през призмата на най-съвременните способи и методи за сигурна защита на съдържанието на предавани електронни пакети с информация може да доведе до неправилното й тълкуване. Правилото не следва да се абсолютизира. При обикновените електронни подписи не е необходимо прилагането за такива методи за защита на съдържанието, както при усъвършенстваните електронни подписи. Достатъчно е ползуването на методи чрез алгоритми на симетрична криптография (с един и същ ключ се криптира и декриптира съдържанието), използуване на по-малко сигурни методи на асиметрична криптография (с различни ключове се извършва защитата и проверката) 17, стандартизирани методи за защита, използувани при традиционните клиентски софтуерни приложения за размяна на електронни изявления и т.н. Идеята на законодателя е била да има някакво ниво на сигурност и защита на съдържанието. Достатъчно е страните да го приемат за сигурно. При наличието на всички предпоставки на чл.13, ал.1 идентифициращата информация ще се счита за електронен подпис с всички произтичащи от това правни последици. Могат да се приведат някои практически примери за това кога ще се счита, че е налице полагане на обикновен подпис. Това ще са всички случаи на използуване на PGP18 криптографски ключове, на усъвършенствани подписи, удостоверенията за които са издадени от чуждестранни доставчици и не е призната правната им сила на територията на Република България19, генерирани симетрични и асиметрични ключове от клиентски софтуери за обикновена електронна поща, генерирани псевдослучайни ключове за временна свързаност по различни протоколи20 и т.н. В общия случай изпращаните съобщения по електронна поща при липса на изрична и ясна воля на автора и адресата и при липса на някоя от предпоставките по чл.13 няма да се считат подписани с електронен подпис. Това, обаче, не лишава заинтересованата страна да докаже авторството на неподписания електронен документ в рамките на гражданския процес. 4. Усъвършенстван електронен подпис
Напр. шифровани със сложност по-малка от 64 бита. Pretty Good Privacy 19 Понастоящем някои от по-известните са: Thawte, VeriSign, GlobalSign, Belgacon, Microsoft и др. 20 Напр. по https
17 18
�13 Така, както обикновения електронен подпис, усъвършенстваният подпис е средство за автентификация. За разлика от обикновения подпис, обаче, използуването на усъвършенствания предполага много по-голяма сигурност в електронния оборот при установяване на автора на електронното изявление и липсата на изменение в съдържанието му от изпращането до получаването му. 4.1. Принцип на действие Усъвършенстваният електронен подпис по смисъла на ЗЕДЕП е дефиниран като преобразувано електронно изявление, включено, добавено или логически свързано със същото електронно изявление, преди преобразуването. Преобразуването трябва да се осъществява чрез алгоритми, включващи използуването на частният ключ на асиметрична криптосистема. Какво означава това? Принципът на използуването и действието на електронните подписи се базира на използуването на двойка числа, наричани частен и публичен ключ. Тези числа не са еднакви, но са математически относими при прилагането на определен алгоритъм. Характерно е, че всяка двойка ключове е уникална. Това означава, че на един частен ключ отговаря само един публичен ключ. Друго характерно е, че от публичния ключ практически е невъзможно да се изведе частния ключ със най-съвременните информационни и технологични средства. Създаването на ключовете по своята същност представлява генериране посредством съответни математически алгоритми на асиметрична криптография и предоставянето на частния ключ на титуляра, респ. на упълномощения от титуляра автор21. Този процес следва да става при строго спазване на законовите предписания, както към системите за създаване на тези ключове, така и към начините за физическото предоставяне на частния ключ на оправомощения автор. В задължение на доставчика на удостоверителни услуги, предлагащ услугата по създаване на частен и публичен ключ, е вменено в задължение да не съхранява или копира данни за създаването на частните ключове. Това е така, защото частният ключ следва да бъде достояние единствено и само на автора. Никой друг няма право на достъп до тайната на частния ключ (чл.14 от ЗЕДЕП). Той се използува за “подписване” на електронното съобщение. Ако частният ключ стане достояние на друго лице, то същото ще може да подписва изявления от името на титуляра и да ангажира неограничено неговата правна сфера. Интересите на титуляра, респективно на обществото сериозно биха се застрашили. Публичният ключ може да бъде направен достояние на всички трети лица. С него се проверява дали полученото подписано съобщение не е променяно от момента на изпращането до момента да получаването и дали подписът е създаден с точно съответстващия му частен ключ.
За повече подробности виж ITU-T Recommendation X.509; също Electronic Signatures – Survey of the Law and Practice in the European Union, ICIT, 1998, Woodhead Publishing Limited, стр.58; Introduction to cryptography, 1990-1999 Network Associates, Inc.
21
�14 Използуването на един ключ за осъществяване на шифриране (криптиране) и различен ключ за дешифриране (декриптиране) е възможен благодарение на създадените алгоритмични методи на асиметрична криптография22. “Подписването” на електронния документ с усъвършенстван електронен подпис се базира на извличането от даден електронен документ посредством определени алгоритми (хеш-алгоритми) на уникално математическо извлечение на този документ, наричано “хеш идентификатор” или “електронно резюме”. Характерно е, че извлеченото “електронно резюме” отговаря само на документа, от който е извлечено. С криптирането на “резюмето” с частния ключ се създава самият електронен подпис. С други думи усъвършенстваният електронен подпис е криптирано с частния ключ електронно резюме на електронния документ. Както става ясно електронният подпис се създава едва към момента на “подписването” на определен електронен документ. За всеки електронен документ електронният подпис е различен, макар и създаден с един и същ частен ключ. За това е не съвсем коректно да се казва, че някой “притежава електронен подпис”. Той притежава частен ключ за създаване на електронни подписи и публичен ключ за проверка на тези подписи. Самият закон е също непоследователен в тази насока (вж. чл.22, т.8, чл.28 ал.1, чл.33, ал.2, т.1 и др.). Често законодателят използува термина “притежава електронен подпис”, като в зависимост от контекста и систематичното място на термина визира именно притежаване на частен ключ или съответно на публичен ключ. Практически след създаването на електронния подпис (“подписването”), към електронното изявление се добавя преобразуваното с частния ключ “електронно резюме” (електронният подпис) и така добавеното и логически свързано съобщение в пакет се изпраща на адресата. От така изложеното вече лесно може да се разбере смисъла на нормата на чл.16, че усъвършенстваният електронен подпис е преобразувано с частен ключ посредством алгоритми на асиметрична криптография електронно изявление, включено, добавено или логически свързано със същото електронно изявление, преди преобразуването. В електронния документооборот от изключителна важност е да съществува сигурност, че изпращаните електронни изявления няма да могат да бъдат изменяни от недобросъвестни лица от момента на изпращането до момента на получаването им и да може със сигурност да се установи кой е авторът на изпратеното съобщение. Тази увереност и сигурност се постига посредством осъществяване на проверка на подписа от адресата на подписаното електронно изявление. Тоест проверката следва да даде отговор на два въпроса: 1) създаден ли е подписът със съответстващия му частен ключ и 2) променяно ли е подписаното съобщение от момента на изпращането на съобщението до момента на получаването му.
За разлика от методите на симетричната криптография, където с един и същ ключ се криптира и декриптира.
22
�15 Проверката представлява обратен процес на този на подписването. Осъществява се чрез публичния ключ, който е направен достояние на адресатите. Първо адресатът декодира електронния подпис и получава “електронното резюме”, такова, каквото е било към момента на създаване на подписа. След това се извлича ново резюме от електронното изявление и новополученото резюме се сравнява с декодираното. Ако проверката е успешна и те са идентични, то това означава, че изявлението не е променяно от момента на изпращането до момента на получаването. Ако съобщението е променено след подписването му, то проверката ще е неуспешна – добавянето или премахването дори на един бит информация от електронното изявление ще резултира в съвсем нов електронен документ, а следователно и новоизвлеченото електронно резюме ще се различава от декодираното. Така лесно може да се установи нарушаване на интегритета на изявлението. Подписването и проверката на електронния документ стават автоматично посредством специализиран софтуер (напр. при подписване на електронна поща стандартизираните популярните софтуерни приложения като Eudora, Microsoft Outlook, Outlook Express и т.н. поддържат такава функционалност). 4.2. Удостоверение за публичния ключ Както бе отбелязано, усъвършенстваният електронен подпис е средство за автентификация, базирано на използуването на частния ключ на асиметрична криптосистема и проверка чрез публичния ключ на автентичността и интегритета на преобразуваното съобщение. Самото използуване на частния ключ от титуляра или автора за преобразуване на съобщението и съответната проверка от адресата чрез публичния ключ не гарантира, обаче, че публичният ключ е притежание на лицето, което се представя за титуляр или автор на съобщението. Съществува риск недобросъвестно лице да генерира частен и публичен ключ и да подписва електронни документи с електронен подпис като се представя пред адресатите на съобщенията за друго лице. Проверката с публичния ключ ще установи, че съобщението не е променено и е подписано със съответстващия му частен ключ. Но по този начин не може да установи кой точно е титулярът на публичния ключ. Следователно само създаването и използуването на частен и публичен ключ не може да създаде достатъчна сигурност в електронния документооборот по отношение авторството на електронните изявления. Липсва връзка между публичния ключ и неговия титуляр. Необходимо е прилагането на механизъм, чрез който да се установява по безсъмнен начин чие притежание е публичния ключ. Решението на проблема се крие в удостоверяването и гарантирането от трета доверена страна на връзката между публичния ключ и неговия титуляр - точно определено физическо или юридическо лице. Тази връзка се осъществява чрез издаването на електронно удостоверение за усъвършенстван електронен
�16 подпис23. Третата доверена страна е дефинирана легално в нашия закон като “доставчик на удостоверителни услуги”24 (ДУУ). Удостоверението за електронен подпис е специален електронен документ, съдържащ името на титуляра и неговия публичен ключ и други предписани от закона реквизити. Това удостоверение се подписва с усъвършенствания електронен подпис на доставчика. Удостоверението се изпраща на адресата в пакет заедно с електронното изявление и електронния подпис, свързан с изявлението. Доколкото се предполага, че всички трети лица ще могат да проверят верността на публично-достъпните публични ключове на доставчиците на удостоверителни услуги, то се създава увереност и сигурност у тях, че публичният ключ, който е визиран в издаденото удостоверение, е действително притежание на титуляра на подписа. По този начин всички трети лица – адресати на електронни съобщения, подписани с усъвършенствания електронен подпис на титуляра, ще могат да установят дали изпратеното съобщение изхожда точно от титуляра, тоест дали съобщението е автентично. Следователно, за да се издаде удостоверение е необходимо доставчикът на удостоверителни услуги да се убеди и провери самоличността на титуляра и фактите, че частният ключ се държи от него и че представеният публичен ключ, съответства именно на държаният от титуляра частен ключ. Целият този процес на проверка протича съобразно предписанията на закона и правилата за сигурност на доставчика на удостоверителни услуги. Крайната фаза, целеният акт е издаването на удостоверение. Издаването на удостоверението се осъществява чрез вписването му в публично достъпен списък в електронния регистър на удостоверенията, поддържан от доставчика. Ако електронният подпис, положен върху електронното изявление е придружен от валидно електронно удостоверение, издадено от доставчик на удостоверителни услуги, то същият ще се счита за усъвършенстван, а когато е издадено от регистриран доставчик - за универсален. С други думи, от гледна точка на правото наличието на валидно придружаващо удостоверение е предпоставка усъвършенстваният, респ. универсалният електронен подпис да се квалифицират като такива. Липсата на някои от задължителните реквизитите опорочава удостоверението и то загубва качеството си на удостоверение за усъвършенстван подпис. Респективно ако такова невалидно удостоверение придружава електронния подпис, то същият се девалидира, а подписаният с него документ ще се счита неподписан с усъвършенстван електронен подпис. Такива ще са последиците и ако удостоверението е с изтекъл срок или е било прекратено действието му предсрочно. Издадените и прекратените удостоверения се публикуват в нарочни списъци в специален регистър при доставчика и тяхната валидност може да се провери по всяко време, включително и автоматизирано от специализираните софтуери, поддържащи функционалност за подписване и проверка на подписани съобщения.
Според Директивата и в чуждестранната литература - “digital certificate”. В българската литература се използуват като равнозначни термини “цифров сертификат”, “електронен сертификат” или “сертификат за електронен подпис”. 24 “Certification Service Provider”
23
�17
4.3. Правна същност и последици Понятието “усъвършенстван електронен подпис” не се покрива смислово с това на Директивата. Практически там смисълът на понятието “усъвършенстван електронен подпис” се съотнася с този на “обикновен електронен подпис” според нашия закон. Освен това, за разлика от ЗЕДЕП, Директивата на предвижда изискване за усъвършенствания електронен подпис да има издадено удостоверение от доставчик на удостоверителни услуги. Смисълът на понятието според нашия закон се покрива със този, който се възвежда от чл.5, ал.1 на Директивата – т.нар. “квалифициран електронен подпис”. Според цитираният член това е този усъвършенстван електронен подпис, за който е издадено квалифицирано удостоверение и е създаден посредством сигурен механизъм за създаване на подписа. Така както обикновения подпис, усъвършенствания електронен подпис има значението на саморъчен (чл13, ал.2). Това правило не се прилага за случаите, когато адресат или титуляр на подписаното електронно изявление е държавен орган или орган на местното самоуправление. Но и в тези случаи е възможно усъвършенствания подпис да има последиците на саморъчен. Министерски съвет е овластен от ЗЕДЕП да определи държавните органи, които могат да използуват в разменяните електронни изявления между тях усъвършенстван или обикновен електронен подпис. Значението на приравняването на правните последици на усъвършенствания подпис със саморъчния се проявява от материално-правна гледна точка, но не и от процесуално-правна. Това означава, че доколкото страните в един граждански процес представят като доказателствено средство за доказване на наличието или липсата на определени факти електронен документ, подписан с усъвършенстван електронен подпис, съдът следва да зачете същата правна стойност, каквато би зачел на подписания писмен документ. Това е така, защото законът изрично възвежда фикция по отношение на материалноправните последици от използуването на усъвършенствания подпис. При условие, че в правоотношенията помежду им отправянето на изявления посредством подписан с усъвършенстван подпис електронен документ има значението на отправяне с подписан със саморъчен подпис писмен документ (арг. от чл.13, ал.2 във връзка с чл.3, ал.2), то ще произтекат същите материално-правни последици, както от използуването на подписан писмен документ. Следователно, на страните не може да бъде отказана възможността да докажат в рамките на процеса определени факти, с представянето на подписан с усъвършенстван подпис електронен документ. Представянето на самия електронен документ може да стане във възпроизведен вид или в електронен вид чрез съответния носител. Точността на възпроизвеждането на електронния документ и валидността на електронния подпис може да се установи с експертиза. Не би могло, обаче, страните да използуват електронния подпис в упражняването на процесуалните си права и изпълнение на процесуалните си задължения. Приемането и издаването на електронни документи в съдебната
�18 система (напр. издаване в електронна форма на съдебни решения, подаване на искови молба и т.н.) следва да се уреди със закон. Друг въпрос се поставя във връзка с последиците от използуването на подписи, удостоверенията за които не отговарят на изискванията на чл. 24. Така, ако доставчик на удостоверителни услуги по нашия закон издаде удостоверение с липсващи задължителни реквизити по чл.24, то изявлението няма да се счита подписано с усъвършенстван електронен подпис. Това не означава, обаче, че ще изявлението ще се счита неподписано с електронен подпис въобще. Ако от тълкуване волята на страните може да се установи, че са приели да считат за подписани разменените електронни съобщения независимо от вида на електронния подпис – усъвършенстван или универсален, то подписаният, но придружен с невалидно удостоверение документ ще се счита подписан с обикновен подпис и ще обвърже титуляра по същия начин, както ако би бил използуван усъвършенстван подпис. Ще е налице конверсия на електронния подпис. 5. Универсален електронен подпис Нашият закон възвежда като особен вид усъвършенстван електронен подпис универсалния електронен подпис. Разликата между него и усъвършенствания подпис се състои единствено в това, че удостоверението за него се издава от регистриран доставчик на удостоверителни услуги. Универсалният електронен подпис има значението на саморъчен по отношение на всички, включително на всички държавни органи и органите на местното самоуправление. Ex lege универсални са подписите на всички регистрирани доставчици, на Комисията за регулиране на съобщенията, с които тя подписва актовете, които издава по силата на закона (чл.33). Изискване на използуване на универсални подписи има и по отношение на съдебната система, макар използуването да следва да се уреди със специален закон, както и по отношение на държавните органи, които не са на подчинение на МС (напр. Конституционния съд, Сметната палата, Българска народна банка и т.н.). 6. Доставчици на удостоверителни услуги Нормата на чл.19 ЗЕДЕП възвежда доставчиците на удостоверителни услуги (ДУУ) като една особена категория субекти. Тяхната differentia specifica се крие в характера на осъществяваната дейност. Те, обаче, не са друг вид субекти на правото. Законът ги определя чрез термина “лица”, заимствайки наготово правосубектността от гражданското право. Следователно ДУУ могат да са всички физически или юридически лица. Дейността, която доставчикът извършва може условно да се диференцира като специфична, факултативна и акцесорна. 6.1. Специфична дейност В алинея първа на чл.19, ал.1 е очертана рамката на специфичната дейност на доставчика. Тя определя неговата характеристика именно на доставчик на
�19 удостоверителни услуги, а не на други услуги, свързани с функционирането и използуването на електронните подписи. За да бъде едно лице доставчик, то трябва да извършва едновременно дейност по: 1) издаване на удостоверения за усъвършенстван електронен подпис, 2) водене на регистър за издадените удостоверения и 3) предоставяне на всяко трето лице достъп до публикуваните удостоверения. Няма изискване за изключителност на извършваната от доставчика доставчика дейност – тя може да е съпътстваща или обслужваща неговата основна дейност. Ако един Интернет доставчик, например, желае да осъществява дейност на доставчик и на удостоверителни услуги и да издава удостоверения на своите клиенти и на други лица, той следва само да съобрази тази си нова специфична дейност с изискванията на закона. Следва да оборудва съответното звено с техническо оборудване, да го обезпечи технологично по такъв начин, че да се постигне предписаната от закона сигурност на осъществяваните технически и криптографски процеси, да ангажира квалифициран персонал, да осигури надеждни системи за управление на удостоверенията и т.н. Започването на тази дейност следва да се заяви по реда на чл.21, ал.1, т.9 пред КРС и от този момент Интернет доставчикът ще се легитимира като доставчик и на удостоверителни услуги (освен ако не избере регистрационния режим по чл.36 и сл.). Това, обаче, няма да го десезира от осъществяване на основната му дейност. Няма и да го ограничи по някакъв начин, освен да осигури такава вътрешна организация на дейността си, която да позволява само на надлежно овластени служители да имат достъп до внасяне на промени в издадените удостоверения, да осигури възможност техническите проблеми да стават незабавно достояние на техническия персонал и т.н. (чл.21, т.7). Този извод не се отнася за някои търговци с ограничена търговска правоспособност – банки, инвестиционни посредници, приватизационни фондове, фондови борси и т.н. 6.2. Факултативна дейност Факулатативна ще бъде дейността на доставчика, свързана с техническото осъществяване на специфичната дейност, както и всяка друга дейност, изрично регламентирана от закона. Доколкото е регулирана от закона, факултативна ще бъде дейността на доставчика по предоставяне на услуги по създаване на частен и публичен ключ за усъвършенстван електронен подпис. Създаването на криптографските ключове не е специфична дейност на доставчика. Законът не вменява в задължение предоставянето на тази услуга. Чл.19, ал.2 визира само, че доставчикът може да осъществява тази дейност. Факултативни ще бъдат дейностите по приемане на искането за издаване на удостоверение, проверка на предоставените от титуляра данни, генерирането на удостоверението, пазенето на регистъра и т.н.
�20 Тези дейности са обслужващи специфичната дейност и се характеризират с техническия си характер. Те могат да се осъществяват както самостоятелно от доставчика, така могат да бъдат превъзлагани и на трети лица.25 6.3. Акцесорна (допълнителна) дейност Доставчиците могат да предоставят и допълнителни услуги, свързани с функционирането на инфраструктурата, базирана на сигурност чрез използуване на публични ключове. Такава допълнителна услуга е например удостоверяването датата и часа на подписан с усъвършенстван електронен подпис електронен документ.26 Акцесорна услуга е и удостоверяването верността на определена информация, изпратена до определени лица - доставчици на услуги по удостоверяване на съдържанието на информация. Аксесорни ще са и услугите по: сигурно архивиране на информация, по доверително съхраняване на частни ключове, по възстановяване на разрушени частни ключове, е-нотариални услуги и т.н. 6.4. Изискване към дейността Важната роля на доставчиците на удостоверителни услуги на трети доверени лица в инфраструктурата, базирана на използуване публични ключове налага законът да възведе строги изисквания към тяхната дейност. Те се разпростират от изисквания за управлението на самия доставчик, през управление на сигурността, организационна обособеност на процесите, компетентност и квалификация на персонала, финансова стабилност, надеждност на използуваните системи и т.н. Изискванията към дейността на доставчиците са възведени в чл.21, ал.1. Нормата представлява своеобразен каталог, без изброяването да е изчерпателно. Отделни изисквания намират систематично място в други раздели на закона.27 Освен това, законът не претендира за изчерпателност в детайлизирането на изискванията. Законодателят изрично е предвидил в чл.21, ал.2, че това следва да се уреди с подзаконов акт – наредба на Министерски съвет. С Постановление №17 от 2002 г. МС приема Наредба за дейността на доставчиците на удостоверителни услуги, реда за нейното прекратяване и за изискванията при предоставяне на удостоверителни услуги (НДДУУ).28 Доставчиците трябва: 1. да поддържат разполагаеми средства, които осигуряват възможност за извършване на дейностите в съответствие с изискванията на този закон; 2. да се застраховат за времето на своята дейност за вредите от неизпълнение на задълженията им по този закон;
Така чл.5, ал.1 от НДДУУ Доставчиците на такива услуги се наричат в теорията и практиката “Time Stamping Authorities” и “Time Stamping Service Providers”. 27 Например изискването към механизма, който доставчиците следва да прилагат, когато извършват проверка на усъвършенстван електронен подпис е възведен в чл.17, ал.2., изискването към воденето на регистъра е обособено в чл.28 и т.н. 28 Публикувана в ДВ бр.15/08.02.2002 г., в сила от 12.02.2002 г.
25 26
�21 3. да разполагат с техническо оборудване и технологии, които осигуряват надеждност на използваните системи и техническа и криптографска сигурност на осъществяваните чрез тях процеси; 4. да поддържат персонал, притежаващ необходимите експертни знания, опит и квалификация за извършване на дейността, по-специално в областта на технологията на усъвършенстваните електронни подписи, както и добро познаване на процедурите за сигурност; 5. да осигуряват условия за точно определяне на времето на издаване, спиране, възобновяване и прекратяване на действието на удостоверенията; 6. да осигуряват мерки срещу подправяне на удостоверенията и поверителността на данните, до които имат достъп в процеса на създаването на подписа; 7. да използват надеждни системи за съхраняване и управление на удостоверенията, които осигуряват: а) само надлежно овластени служители да имат достъп за внасяне на промени; б) установяване на автентичността и валидността на удостоверенията; в) възможност за ограничен достъп до публикуваните удостоверения; г) възникването на технически проблеми във връзка със сигурността да става незабавно достояние на обслужващия персонал; д) с изтичането на срока на удостоверението да се прекратява възможността за потвърждаване на частния ключ; 8. да осигуряват възможност за незабавно спиране и прекратяване на действията на удостоверенията;
6.5. Отговорност Ако от неосъществяването на някоя от дейностите са настъпили вреди за трети лица, то гражданската отговорност на доставчика може да бъде ангажирана освен на общо, така и на специалните основания, предвидени в чл.29 ЗЕДЕП. Особената роля на доставичика на трето доверено лице в инфраструктурата на публичния ключ налага и по-голяма дължима грижа, респ. по-голяма отговорност. За разлика от общите диспизитивни правила на гражданското право позволяващи страните да ограничават с договор отговорността, с изключение на случаите, когато са действали с умисъл или груба небрежност (чл.94 ЗЗД), отговорността на доставчика за небрежност не може да се ограничава (чл.29, ал.2 ЗЕДЕП). Ако доставчикът е издал удостоверение чрез публикуването му във водения от него регистър, но не предоставя достъп на адресатите до публикуваните удостоверения, то интересите и на титуляра и на адресатите могат сериозно да бъдат накърнени. Примерите могат да бъдат многобройни. Например страните са уговорили, че приемат за правно валидни в отношенията между тях само изявления, подписани с усъвършенстван електронен подпис (за който е издадено валидно удостоверение). Адресатът получава подписано с електронен подпис изявление на титуляра, с което същият приема офертата за сключване на договор за покупко-продажба на 5 тона домати в дадения му срок (чл.13, ал.3 от ЗЗД). При опит за проверка на съпътстващото
�22 удостоверение, доказващо връзката между титуляра и публичния му ключ се оказва, че такава проверка не може да се осъществи - доставчикът не е осигурил възможност за достъп до регистъра на публикуваните удостоверения, или въобще не поддържа такъв регистър. При отрицателен резултат от проверката, адресатът-продавач не може да се довери, че това е електронния подпис на титуляра-купувач, понеже формално не може да се установи, че е налице публикувано удостоверение. Така подписаното с усъвършенстван електронен подпис изявление няма да се счита подписано, тъй като не може да се установи, че за него е издадено правно валидно удостоверение. Купувачът сключва договор за покупко-продажба с друго лице, защото се страхува, че доматите ще се развалят. Титулярът пропуска да сключи правно валиден договор и търпи негативни вреди29. Той ще може да претендира обезщетение от страна на доставчика на основание чл.29, ал1., т.1 ЗЕДЕП за неизпълнение на задълженията му по чл.22, т.4 ЗЕДЕП.
29
Вж. Калайджиев, А., Облигационно право – Обща част, Сиби, 2001, стр.89
�