Проект федерального закона N 33842-3
"Об электронной цифровой подписи"
Досье на проект федерального закона
См. пояснительную записку
справка о состоянии законодательства
перечень законодательных актов для изменения
финансово-экономическое обоснование
Глава I. Общие положения (ст.ст. 1-6)
Глава II. Центры сертификации открытых ключей ЭЦП (ст.ст. 7-12)
Глава III. Использование ЭЦП (ст.ст. 13-15)
Глава IV. Заключительные положения (ст.ст. 16-19)
Глава I. Общие положения
Статья 1. Цели и сфера применения настоящего Закона
Сферой действия настоящего Закона являются правоотношения, возникшие между органами государственной власти, органами местного самоуправления, физическими и (или) юридическими лицами, находящимися в юрисдикции РФ, в процессе использования электронной цифровой подписи.
Настоящим Законом устанавливается, что средства выработки электронной цифровой подписи не являются средствами шифрования.
Использование электронной цифровой подписи регулируется настоящим Законом, иными законодательными и нормативно-правовыми актами РФ и соглашением сторон.
Ограничения на использование электронной цифровой подписи устанавливаются в законах РФ.
Статья 2. Понятия, используемые в настоящем Законе
Для целей настоящего Закона используются следующие понятия:
файл - информация, представленная в виде последовательности двоичных символов;
формат файла - правила преобразования исходной информации в файл и обратно;
исходный файл - файл, являющийся объектом выработки электронной цифровой подписи;
электронная цифровая подпись (ЭЦП) - файл, формируемый из исходного файла при помощи алгоритма ЭЦП и содержащий информацию, используемую при проверке ЭЦП;
подписанный файл - совокупность исходного файла и электронной цифровой подписи;
выработка ЭЦП - последовательность действий, в результате которых создается ЭЦП в виде отдельного файла или создается новый файл, содержащий исходный файл и ЭЦП;
алгоритм ЭЦП - правила производимого с использованием закрытого ключа преобразования исходного файла, применяемые в процессе выработки ЭЦП и правила проверки ЭЦП, производимой с использованием открытого ключа ЭЦП;
проверка ЭЦП - последовательность действий, в результате которой лицо, имеющее подписанный файл, открытый ключ ЭЦП и знающее алгоритм ЭЦП, может установить:
был ли исходный файл изменен после выработки ЭЦП;
была ли ЭЦП выработана с применением закрытого ключа ЭЦП, соответствующего использованному при проверке открытому ключу ЭЦП;
установить владельца сертификата открытого ключа ЭЦП, при наличии такого сертификата;
ключ ЭЦП - конкретное состояние параметров алгоритма ЭЦП, обеспечивающее выбор одного преобразования из совокупности возможных для данного алгоритма ЭЦП;
открытый ключ ЭЦП - общедоступная часть ключа ЭЦП, предназначенная для проверки ЭЦП;
закрытый ключ ЭЦП - часть ключа ЭЦП, используемая для выработки ЭЦП;
средство выработки ЭЦП (средство ЭЦП) - совокупность программных и/или технических средств, реализующих алгоритм ЭЦП. Средства генерации ключей ЭЦП также относятся к средствам выработки ЭЦП;
сертифицированное средство выработки ЭЦП - средство выработки ЭЦП, прошедшее процедуру сертификации в соответствии с законодательством РФ;
владелец закрытого ключа ЭЦП - любой орган государственной власти и местного самоуправления, а также любое физическое или юридическое лицо, осуществляющее права владения, пользования и распоряжения закрытым ключом ЭЦП;
сертификат открытого ключа ЭЦП - выданный Центром сертификации открытых ключей ЭЦП документ, удостоверяющий соответствие открытого ключа ЭЦП владельцу закрытого ключа ЭЦП;
Центр сертификации открытых ключей (Центр сертификации) - юридическое лицо, осуществляющее деятельность по удостоверению соответствия открытого ключа ЭЦП владельцу закрытого ключа ЭЦП;
владелец сертификата открытого ключа ЭЦП (владелец сертификата) - владелец закрытого ключа ЭЦП, на имя которого выдан сертификат соответствующего открытого ключа ЭЦП;
пользователь открытого ключа ЭЦП - любой орган государственной власти и местного самоуправления, а также любое физическое или юридическое лицо, использующее открытый ключ ЭЦП;
общедоступные (открытые) информационные системы информационные системы, не имеющие привилегий для доступа;
компрометация закрытого ключа ЭЦП - утрата владельцем закрытого ключа доверия к нему.
Статья 3. Правовой режим электронной цифровой подписи: общие положения
1. Владелец закрытого ключа вправе владеть, пользоваться и распоряжаться неограниченным количеством закрытых ключей.
2. Любое физическое и юридическое лицо, а также любой орган государственной власти и местного самоуправления, вправе самостоятельно осуществлять генерацию ключей ЭЦП.
3. Исходный файл признается подписанным владельцем в том случае, если проверка ЭЦП установила, что:
- исходный файл не был изменен после выработки ЭЦП;
- выработка ЭЦП была осуществлена с применением закрытого ключа ЭЦП, соответствующего использованному при проверке открытому ключу ЭЦП;
- на момент выработки ЭЦП сертификат открытого ключа ЭЦП, использованного при проверке ЭЦП, являлся действующим;
4. Если информация, полученная из исходного файла с применением использованного при его создании формата, сводится к тексту или графическому изображению, воспроизводимому полностью на бумажном носителе, то при соблюдении требований настоящего Закона, действующего законодательства и (или) в порядке, установленном соглашением сторон, выработка ЭЦП исходного файла влечет правовые последствия, равнозначные:
- скреплению собственноручной подписью физического лица документа, содержащего текст или графическое изображение, которые были преобразованы в исходный файл;
проставлению печати юридического лица в совокупности с собственноручной подписью его полномочного представителя под документом, содержащим информацию, которая была преобразована в исходный файл.
5. Владелец сертификата открытого ключа ЭЦП вправе накладывать ограничения на область применения соответствующего закрытого ключа ЭЦП;
6. Упомянутая в п.4 информация, полученная из исходного файла с применением использованного при его создании формата, считается заверенной нотариусом, если
а) исходный файл заверен ЭЦП сторон(ы)
б) подписанный файл заверен ЭЦП нотариуса.
в) на момент совершения формирования подписей сертификаты открытого ключа ЭЦП сторон(ы) и нотариуса были действующими. Нотариус обязан хранить бумажные копии всех заверенных его ЭЦП документов в установленном порядке.
7. Правовые последствия выработки ЭЦП файла, содержащего информацию, к которой не может быть применен п.4 настоящей статьи, устанавливаются законодательством РФ или договором сторон, заключенным в письменной форме до формирования ЭЦП.
8. Все экземпляры подписанного файла имеют силу оригинала.
9. Информация не может быть лишена юридической силы или действительности лишь на том основании, что она представлена в виде файла.
Статья 4. Использование электронной цифровой подписи
1. Пользователи открытых ключа ЭЦП, а также владельцы закрытых ключей ЭЦП и/или средств выработки ЭЦП, осуществляют свои права без лицензии.
2. Сертификация средств ЭЦП осуществляется в соответствии с законодательством РФ о сертификации товаров и услуг.
Файлы, подписанные ЭЦП, имеют доказательную силу в суде наравне с документами на бумажных носителях.
3. Допускается использование не сертифицированных средств выработки ЭЦП.
4. Владелец закрытого ключа ЭЦП, использующий не сертифицированное средство ЭЦП, обязан обеспечить уведомление пользователей соответствующих открытых ключей о факте отсутствия сертификата на средство ЭЦП, одновременно с получением ими открытого ключа ЭЦП.
В противном случае владелец закрытого ключа ЭЦП, использующий не сертифицированное средство ЭЦП, несет ответственность за убытки, понесенные пользователями соответствующего открытого ключа вследствие использования не сертифицированного средства ЭЦП.
5. Несовершеннолетние граждане имеют право на приобретение средств ЭЦП, получение сертификата открытого ключа ЭЦП и использование закрытого ключа ЭЦП во всех случаях, за исключением предусмотренных действующим законодательством.
6. Действие сертификата открытого ключа ЭЦП начинается с момента его выдачи Центром сертификации открытых ключей ЭЦП.
Сертификат открытого ключа ЭЦП может содержать ограничения на срок его действия.
7. Владелец сертификата открытого ключа ЭЦП вправе в любой момент прекратить действие принадлежащего ему сертификата. В этом случае действие сертификата прекращается с момента получения Центром сертификации открытых ключей ЭЦП соответствующего волеизъявления владельца сертификата.
8. Центр сертификации открытых ключей ЭЦП обязан прекратить действие выданных им сертификатов открытых ключей ЭЦП в случае компрометации закрытого ключа ЭЦП самого Центра сертификации.
9. Срок хранения сертификатов открытых ключей ЭЦП не может быть менее срока исковой давности, отсчитываемого от момента прекращения действия сертификата открытого ключа ЭЦП.
После прекращения действия сертификата открытого ключа ЭЦП, он поступает на архивное хранение. Срок хранения устанавливается в соответствии с архивным законодательством РФ.
10. По прекращении действия сертификата открытого ключа ЭЦП взаимные права и обязанности владельца сертификата открытого ключа ЭЦП и Центра сертификации открытых ключей ЭЦП в отношении данного сертификата прекращаются.
Статья 5. Права и обязанности владельца закрытого ключа ЭЦП и пользователя открытого ключа ЭЦП
1. Владелец закрытого ключа ЭЦП несет ответственность перед пользователем соответствующего открытого ключа ЭЦП за убытки, причиненные несанкционированным использованием закрытого ключа ЭЦП вследствие его ненадлежащего хранения.
2. Владелец закрытого ключа ЭЦП обязан потребовать от Центра сертификации приостановить или прекратить действие выданного ему сертификата открытого ключа ЭЦП, если он узнал о компрометации закрытого ключа ЭЦП, соответствующего открытому ключу ЭЦП, указанному в сертификате.
3. Центр сертификации обязан по требованию пользователя открытого ключа ЭЦП обеспечить предоставление информации о выданных Центром сертификатах, а также о сертификатах, действие которых было приостановлено или прекращено Центром;
4. Пользователь открытого ключа ЭЦП обязан в соответствии с законодательством РФ и международными соглашениями обеспечить защиту персональных данных, содержащихся в подписанном файле.
Статья 6. Содержание сертификата открытого ключа ЭЦП
1. Сертификат открытого ключа ЭЦП должен содержать следующие обязательные сведения:
- данные о владельце закрытого ключа ЭЦП:
- фамилия, имя и отчество для физического лица (по желанию этого лица - псевдоним);
- наименование, а также фамилия, имя, отчество его уполномоченного представителя для юридического лица,
- открытый ключ ЭЦП;
- наименование средств ЭЦП, с которыми можно использовать данный открытый ключ ЭЦП, номер сертификата средств ЭЦП (при его наличии) и срок его действия;
- наименование и юридический адрес Центра сертификации открытых ключей ЭЦП, выдавшего сертификат;
- номер сертификата открытого ключа ЭЦП и дата его выдачи;
- дату начала и дату прекращения действия сертификата;
- данные об ограничениях, наложенных владельцем данного сертификата открытого ключа ЭЦП на область применения соответствующего ему закрытого ключа ЭЦП;
- подпись Центра сертификации открытых ключей ЭЦП.
2. Иные данные о владельце сертификата открытого ключа ЭЦП (в том числе, паспортные данные либо иные сведения, позволяющие однозначно идентифицировать физическое лицо) могут включаться в сертификат открытого ключа ЭЦП только с его согласия, выраженного в письменной форме.
Глава II. Центры сертификации открытых ключей ЭЦП
Статья 7. Правовой статус Центров сертификации открытых ключей ЭЦП
1. Деятельность по удостоверению соответствия открытого ключа ЭЦП владельцу закрытого ключа ЭЦП осуществляется юридическими лицами на основании лицензии, выдаваемой уполномоченным государственным органом в заявительном порядке в соответствии с законодательством РФ.
По смыслу настоящего Закона под заявительным порядком понимается отсутствие оснований для отказа в выдаче лицензий.
Деятельность по удостоверению соответствия открытого ключа ЭЦП владельцу закрытого ключа ЭЦП не является исключительной и осуществляется наряду с иными видами деятельности юридического лица.
2. Центр сертификации должен располагать финансовыми ресурсами (в том числе, собственным капиталом, заемными средствами и др.), достаточными для несения имущественной ответственности перед владельцами сертификатов открытых ключей в случае ненадлежащего исполнения Центром своих обязанностей.
Минимальный размер указанных финансовых ресурсов, определяется соответствующими законодательными и/или нормативными актами.
3. Центр сертификации обязан иметь сертификат принадлежащего ему открытого ключа ЭЦП, выдаваемый лицензирующим и/или уполномоченным органом. При этом лицензирующий и/или уполномоченный орган обязан обеспечить раскрытие информации о выданных им Центрам сертификации сертификатах открытых ключей.
4. Лицензирующий и/или уполномоченный орган обязан вести единый Реестр сертификатов открытых ключей Центров сертификации и обеспечить неограниченный доступ к этому Реестру.
В Реестр сертификатов должны быть внесены следующие сведения:
- Номер, дата выдачи и срок действия лицензии Центра сертификации,
- наименование и юридический адрес лицензирующего и/или уполномоченного органа, выдавшего сертификат Центра сертификации, выдавшего сертификат;
- адрес Центра сертификации,
- данные о выданных Центрам сертификации сертификатах, действие которых приостановлено или прекращено;
- данные о прекращении деятельности Центров сертификации, а также данные о приостановке или отзыве лицензий.
Статья 8. Деятельность Центров сертификации
1. Выдача сертификата открытого ключа ЭЦП производится Центром сертификации на основании заявки, составленной в письменной форме.
2. Выдача сертификата открытого ключа ЭЦП Центром сертификации гарантирует:
- соответствие сертификата открытого ключа ЭЦП требованиям настоящего Закона и иных законодательных актов РФ, в том числе наличие в сертификате обязательных сведений в соответствии со ст.6 настоящего Закона;
- тождественность сведений, содержащихся в сертификате открытого ключа ЭЦП, выданном Центром сертификации, сведениям, предоставленным заявителем;
- подтверждение владельцем закрытого ключа факта соответствия закрытого ключа ЭЦП и открытого ключа ЭЦП, сертификат которого был выдан Центром сертификации.
4. Центр сертификации открытых ключей ЭЦП по требованию владельца закрытого ключа либо пользователя открытого ключа может удостоверять целостность полученного файла в момент его поступления в Центр сертификации.
5. Центр сертификации открытых ключей ЭЦП обязан предоставить любому лицу:
- возможность удостоверить соответствие открытого ключа ЭЦП владельцу сертификата соответствующего открытого ключа ЭЦП;
- информацию о сертификатах, выданных Центром сертификации, в том числе о сертификатах, действие которых было приостановлено или прекращено.
6. Центр сертификации открытых ключей ЭЦП вправе выдавать и заверять бумажные копии информации, полученной из исходного файла, при условии, что сертификат соответствующего открытого ключа выдан данным центром сертификации.
Статья 9. Обязательства владельца сертификата открытого ключа ЭЦП
Владелец сертификата открытого ключа ЭЦП обязан:
- предоставлять Центру сертификации достоверную информацию;
- незамедлительно предоставлять Центру сертификации информацию об изменении обязательных сведений, предоставленных им Центру сертификации;
- обеспечивать контроль использования закрытого ключа ЭЦП и предотвращение его раскрытия третьим лицам.
Статья 10. Реорганизация, ликвидация, прекращение выполнения функций Центров сертификации открытых ключей ЭЦП
1. При принятии Центром сертификации открытых ключей ЭЦП решения о реорганизации или ликвидации, а также решения о прекращении выполнения им своих функций, Центр сертификации обязан в установленном порядке уведомить об этом лицензирующий орган, а также проинформировать всех владельцев сертификатов, выданных Центром.
При получении лицензирующим органом уведомления о реорганизации, ликвидации, прекращении деятельности Центра сертификации открытых ключей ЭЦП, лицензирующий орган обязан немедленно внести соответствующие изменения в единый Реестр сертификатов открытых ключей Центров сертификации.
2. При реорганизации, ликвидации Центра сертификации или прекращении выполнения Центром сертификации открытых ключей ЭЦП своих функций прекращается действие всех сертификатов открытых ключей ЭЦП выданных Центром сертификации.
3. При реорганизации или прекращении выполнения Центром сертификации открытых ключей ЭЦП своих функций сведения о владельцах и иная документация Центра передаются другому Центру сертификации либо на хранение в государственный архив, о чем делается публичное уведомление пользователей открытых ключей.
4. При ликвидации Центра сертификации открытые ключи ЭЦП, сведения о владельцах и иная документация Центра передаются на хранение в государственный архив, о чем делается публичное уведомление пользователей открытых ключей.
Статья 11. Защита персональных данных
1. В соответствии с законодательством РФ и международными соглашениями по защите персональных данных Центр сертификации обязан обеспечить защиту и нераспространение персональных данных владельца сертификата открытого ключа.
2. Центр сертификации не вправе запрашивать персональные данные, не соответствующие цели выдачи сертификата.
3. Раскрытие персональных данных владельцев сертификата Центром сертификации данных допускается только с их письменного согласия, либо при наличии судебного решения.
4. В случае наличия в сертификате открытого ключа ЭЦП псевдонима владельца сертификата открытого ключа ЭЦП Центр сертификации обязан сообщить персональные данные владельца сертификата открытого ключа, соответствующие данному псевдониму, исключительно при наличии судебного решения.
Статья 12. Ответственность Центров сертификации
Центр несет ответственность за убытки, возникшие в результате ненадлежащего исполнения Центром своих обязанностей.
Глава III. Использование ЭЦП
Статья 13. Использование ЭЦП в сфере государственного управления
1. ЭЦП может применяться органами государственной власти и органами местного самоуправления при передаче по информационным системам и при хранении в электронных базах данных любых документов, издаваемых и получаемых данным органом в соответствии с его компетенцией.
2. Органы государственной власти и органы местного самоуправления, направляющие подписанные ими файлы, обязаны:
- использовать для выработки ЭЦП сертифицированные средства выработки ЭЦП;
- иметь сертификат открытого ключа ЭЦП, выданный в установленном порядке Центром сертификации.
Органы государственной власти и органы местного самоуправления принимают подписанные файлы, направленные в эти органы физическими и юридическими лицами, только при выполнении следующих условий:
- использованный при подписании открытый ключ был сертифицирован в соответствии с настоящим Законом;
- на момент выработки ЭЦП указанный сертификат был действующим.
Статья 14. Использование электронной цифровой подписи в открытых информационных системах
При официальном предоставлении информации из общедоступных информационных систем (баз данных) владелец такой системы (базы данных) обязан подписать предоставляемую информацию ЭЦП, открытый ключ которой имеет сертификат.
Субъект, получающий информацию из общедоступных информационных систем (баз данных) не обязан проверять ее с помощью открытого ключа владельца системы.
Статья 15. Использование электронной цифровой подписи в корпоративных информационных системах
Использование электронной цифровой подписи в корпоративных информационных системах регламентируется внутренними нормативными документами системы, соглашением между участников системы или между владельцем системы и пользователями (клиентами).
Указанные нормативные документы или соглашения должны содержать положения о правах, обязанностях и ответственности лиц, использующих электронную цифровую подпись, владельца корпоративной системы, а также о распределении рисков убытков при использовании недостоверной электронной цифровой подписи между участниками корпоративной системы (включая владельца системы).
Глава IV. Заключительные положения
Статья 16. Признание иностранных сертификатов открытого ключа ЭЦП
1. Иностранный сертификат открытого ключа ЭЦП, выданный в соответствии с законодательством одной из стран Содружества Независимых Государств или государства, с которым есть международный договор о признании таких сертификатов или иной договор, обеспечивающий равноценную безопасность электронных сообщений, признается наравне с сертификатом, выданным в соответствии с настоящим Законом.
2. К правоотношениям, возникающим между Центром сертификации и владельцем сертификата открытого ключа, применяется право страны, в которой был выдан сертификат.
Статья 17. Ответственность за нарушение законодательства при использовании электронной цифровой подписи
1. Лица, неправомерно использующие электронную цифровую подпись другого лица, включая неправомерное получение закрытого ключа и (или) проставление электронной цифровой подписи другого лица без должных полномочий, несут уголовную, гражданско-правовую и административную ответственность в соответствии с законодательством РФ.
2. В случае причинения убытков в результате несоответствия средств выработки электронной цифровой подписи заявленным изготовителем свойствам или нарушения установленной процедуры сертификации средств электронной цифровой подписи, сертифицирующий орган несет гражданско-правовую ответственность.
3. В случае причинения убытков пользователю открытого ключа электронной цифровой подписи вследствие несанкционированного доступа к закрытому ключу электронной цифровой подписи владелец закрытого ключа обязан возместить убытки.
4. Если владелец закрытого ключа электронной цифровой подписи передает открытый ключ электронной цифровой подписи по договору об использовании электронной цифровой подписи, получатель открытого ключа электронной цифровой подписи несет ответственность за выполнение условий хранения и использования открытого ключа, установленных договором.
Статья 18. Разрешение споров
Споры, вытекающие из правоотношений, связанных с использованием электронной цифровой подписи, а также признанием ее действительности подлежат разрешению в судебном порядке в соответствии с правилами подведомственности и подсудности, установленными законодательством РФ.
Статья 19. Порядок вступления настоящего Закона в действие
Статья 8 вступает в действие спустя 6 месяцев после создания уполномоченного государственного органа.
Статья 17 вступает в действие спустя один год после создания уполномоченного государственного органа.
Президент Российской Федерации |
|
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.