Можно ли передавать ЭЦП другому лицу?
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Можно ли передавать ЭЦП другому лицу?». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Несмотря на то что вопрос передачи ЭП законодательно не урегулирован, это очень распространенная практика. Часто в организации руководитель передает ЭП бухгалтеру, специалистам по закупкам или другим профильным службам для подписания документов в электронном виде.
Передача ключа ЭЦП: чьей считается подпись?
Как уже было сказано, данный процесс не регламентируется четкими правилами. Соответственно, акт приема-передачи ЭЦП является внутренним соглашением, не выходящим за пределы компании. Внешние структуры не уведомляются о том, что произошла перемена, следовательно, для них все остается по-прежнему. По умолчанию считается, что документ был подписан владельцем ЭЦП, если ключ содержит его персональные данные.
Даже при наличии доверенности, составленной в произвольной форме, ответственность за использование ЭП все равно несет ее непосредственный владелец. Являясь аналогом рукописной подписи, ЭЦП автоматически закрепляется за своим оформителем, и только за ним. С юридической точки зрения обвинение в тайном использовании ключа равносильно упреку в краже руки. Чтобы доказать свою непричастность к составлению того или иного документа, руководителю придется немало потрудиться.
Ответственность за применение чужой подписи
Ни в УК, ни в КоАП не содержатся нормы относительно ответственности за применение сторонней ЭП. Но это вовсе не свидетельствует о том, что такие действия полностью безнаказанны.
Рассмотрим ответственность на примере. Лицо взяло подпись своего руководителя, вошло в электронную систему и получило от своих действий финансовую выгоду. Например, сотрудник заключил соглашение, благодаря которому он извлек прибыль. В рассматриваемой ситуации руководитель может обвинить лицо в мошенничестве. Ответственность за подобные действия накладывается на основании статьи 159 УК РФ. Эта статья предполагает наказание за хищение чужой собственности или получение прав на чужое имущество посредством обмана или злоупотребления доверием. Незаконное использование подписи попадает под действие этого нормативного акта. Однако подобные дела имеют свои сложности. В частности, руководителю нужно доказать, что сотрудник получил ЭП незаконно.
Рассмотрим другой пример. Руководитель передал право на использование подписи на основании доверенности своему сотруднику. Подчиненный, используя ЭП, исполнил незаконные действия. В этом случае руководителю необходимо подтвердить, что подпись использовал не он. Сделать это практически невозможно, так как незаконное действие обычно выполняется без свидетелей и через ПК. Если руководитель не предоставил достоверных доказательств своей правоты, наказываться будет именно он.
Допускает ли закон передачу квалифицированной эцп другому лицу, например, по акту приема-передачи?
Многих интересует вопрос возможности передачи третьим лицам квалифицированной ЭЦП (например, директором организации ее работнику). Согласно ст. 2 ФЗ № 63 цель использования электронной подписи состоит в том, чтобы обеспечить возможность достоверно определить ее владельца. При ее передаче третьим лицам, смысл ЭЦП теряется, поскольку доверенное лицо невозможно идентифицировать.
Согласно ст. 10 ФЗ № 63 владелец ЭЦП должен обеспечить ее конфиденциальность. Если подпись передается третьему лицу для использования, предполагается, что конфиденциальность нарушена (происходит утечка информации). В таком случае ст. 10 ФЗ № 63 возлагает на владельца ЭЦП обязанность уведомить удостоверяющий центр об этом, и не использовать ЭЦП. Таким образом, можно сделать вывод о том, что передача ЭЦП третьим лицам невозможна, даже на основании доверенности.
Оборот электронной подписи важен, способствует развитию экономических отношений. В то же время противоправные деяния, совершенные с помощью электронной подписи, приводят к преступлениям, например – мошенничеству, где материальный носитель электронной подписи является орудием преступления в руках исполнителя.
Расследование таких преступлений требует специальной квалификации и серьезных усилий от правоохранительных органов. Важно предупреждать такие преступления, для этого законодатель должен модифицировать правовое поле в сфере оборота электронной подписи.
Прямых путей совершенствования законодательства два: регулирование порядка и условий идентификации лица при введении в оборот его сертификата электронной подписи, а также обеспечение всесторонней ответственности участников взаимоотношений в данной сфере, в том числе превентивно – на ранних этапах оборота электронной подписи.
1. В части совершенствования процедур важно помнить, что избыточная зарегулированность оборота электронной подписи имеет негативные последствия, сдерживает эффективный документооборот, ограничивает возможности экономических отношений, судопроизводства и т. д.
Имеющаяся нормативная база в достаточной степени регулирует требования к обеспечению ответственности УЦ. При этом важно дополнительно проработать необходимые и достаточные условия, а также детальный порядок идентификации лиц при вводе в оборот их электронной подписи.
2. В части ответственности участников оборота электронной подписи законодателем пока упускается из виду, что сотрудник УЦ – не единственный субъект такого оборота. Именно физические лица – незаконные приобретатели – чаще всего совершают противоправные деяния, завладевая данными чужого “цифрового профиля” и чужой электронной подписью.
Незаконно приобретенная электронная подпись может служить только орудием совершения преступления или средством причинения вреда как гражданам, так и организациям. Ни для каких правомерных целей незаконно приобретенная электронная подпись служить не может.
Отсюда, выглядит целесообразным модернизация уголовного законодательства через введение в УК РФ новой статьи, устанавливающей уголовную ответственность за умышленное незаконное приобретение электронной подписи, а также использование такой подписи без воли на то ее законного владельца.
Меры безопасности при использовании
Собственноручность – главный фактор доверительного отношения к усиленной ЭЦП. Передача подписи другому лицу компрометирует ее и служит основанием для сомнений в достоверности всех подписанных документов. При установлении факта передачи сертификат отзывается и составляется акт о ликвидации ЭЦП.
В случае потери или кражи ЭЦП необходимо самостоятельно отозвать сертификат, написав заявление в УЦ. В противном случае злоумышленники могут воспользоваться подписью в своих целях. Восстановить подпись можно только путем получения нового сертификата.
Правила получения и использования электронных подписей регламентируются федеральным законом «Об электронной подписи». При соблюдении его положений ЭЦП становится удобным и безопасным инструментом как для решения личных вопросов, так и для повышения эффективности бизнес-процессов, что в итоге помогает сэкономить время и силы, сократить расходы, увеличить прибыль.
Передача ЭЦП другому лицу: что говорит закон
Ключ ЭП может быть выдан юридическому лицу на законных основаниях. Однако в этом случае при его оформлении обозначается конкретное физическое лицо, выступающее представителем организации. Чаще всего им является учредитель или нынешний руководитель, имеющий соответствующие документы или доверенность. Таким образом, владельцем ЭЦП все-таки является не организация, а конкретный человек, который подписывает документы от ее имени.
Анализируя статьи 63-ФЗ, нельзя сделать однозначного вывода о том, можно ли передавать электронную подпись другому лицу. С одной стороны, 63-ФЗ не рассматривает передачу прав на основании доверенности как частный случай, а, следовательно, не подразумевает такой возможности. С другой — п. 1 ст. 10 содержит информацию о том, что ключ ЭП не может быть использован без согласия его владельца. Исходя из логики формулировки, можно предположить, что при наличии согласия такой акт возможен. Однако на практике он должен представлять собой чисто техническое исполнение.
Существует ли образец приказа о передаче ЭЦП?
Несмотря на то, что законодательство не содержит прямого запрета на подобные действия, регламентация этого процесса в нем также отсутствует. Не существует нормативных актов, которые описывали бы акт приема-передачи электронной подписи. Соответственно, четкого образца подобного приказа тоже не существует, а прямой необходимости составлять его — нет. Однако ввиду отсутствия законодательного урегулирования судебные разбирательства, касающиеся таких ситуаций, нередки. Если руководитель компании желает обезопасить себя от подобных инцидентов в дальнейшем, он может составить акт передачи ЭЦП в произвольной форме.
В таком документе непременно должны быть упомянуты:
имена и должности физических лиц, представляющих стороны
бумаги и полномочия, которые руководитель передает доверенному лицу
реквизиты сертификата ключа проверки
дата, когда совершается сделка
При этом если сертификат хранится на специальном внешнем носителе (токене), в документе желательно обозначить его дальнейшее местонахождение.
Как оценить надёжность удостоверяющего центра
Несмотря на то, что мошеннические схемы нацелены на все возможные уязвимые места в законодательстве, которые не ограничиваются сферой электронной подписи, выбор удостоверяющего центра остается одним из важнейших слагаемых безопасного использования ЭП. Поэтому вернёмся к удостоверяющим центрам и рассмотрим подробнее критерии их надёжности.
Законодательство, в рамках которого работают аккредитованные удостоверяющие центры, применяет к ним жёсткие требования, соответствие которым необходимо подтверждать раз в пять лет. Правила аккредитации удостоверяющего центра определяются статьей 16 Федерального закона №63 «Об электронной подписи». Среди главных условий для получения удостоверяющим центром аккредитации Минкомсвязи:
- организация должна обладать чистыми активами стоимостью не менее 7 млн рублей;
- у организации должно быть финансовое обеспечение ответственности за убытки, причинённые третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет этот УЦ. Сумма — не менее 30 млн рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности;
- средства электронной подписи удостоверяющего центра должны быть сертифицированы ФСБ Российской Федерации;
- удостоверяющий центр должен иметь порядок реализаций функций и исполнения обязанностей в виде регламента, правил и прочих нормативных документов, установленный в соответствии с требованиями, утверждёнными федеральным органом исполнительной власти.
Возможно ли подписание отчета об исполнении бюджета (контракта) чужой электронной подписью
Закон рассматривает виды электронных подписей, права и обязанности их владельцев, а также ответственность за нарушение тех или иных правил. С одной стороны, согласно ст. 4 закона № 63-ФЗ, у участников электронного взаимодействия есть право применять электронную подпись любого вида по своему решению (в случае отсутствия требований об использовании конкретного вида ЭЦП).
С другой стороны, в ст. 10 того же закона приведены обязанности участников электронного взаимодействия, и одной из них является обеспечение конфиденциальности. Владелец ЭЦП должен следить за тем, чтобы принадлежащие ему ключи электронной подписи не использовались без его согласия. В том случае, если электронная подпись задействована без ведома ее обладателя, ответственность за последствия таких действий с него снята не будет.
Исходя из приведенных норм закона получается, что применение ключей уполномоченными лицами для подписания отчета об исполнении бюджета (контракта) чужой электронной подписью не запрещено.
Можно ли передать квалифицированную подпись?
Необходимость в передаче подписи возникает довольно часто. Иногда руководитель делегирует обязанность по изменению документов своему подчиненному. В статье 2 ФЗ №63 указано, что электронная подпись служит идентификации ее владельца. Если ЭЦП передается постороннему лицу, смысл ее просто утрачивается, так как лицо, использующее подпись, невозможно идентифицировать.
В статье 10 ФЗ №63 прописано, что владелец обязан обеспечить конфиденциальность ЭЦП. При передаче происходит утрата конфиденциальности. Это утечка сведений. Если доступ к подписи получило другое лицо, ее владелец должен направить соответствующее уведомление в удостоверяющий центр. Одновременно с уведомлением нужно прекратить использование ЭЦП. Из всего этого можно сделать вывод о том, что передача является незаконной даже в том случае, если руководитель оформил доверенность.
УЦ совершенно тайно выпустил ключ ЭП, используя данные руководителя частной организации, и по подложным документам выдал кому-то в руки ключ, который был использован в целях подачи нулевой бухгалтерской отчётности в ФНС. Удалось оперативно отозвать сертификат на ЭП и аннулировать подпись, однако предприятие поимело экономические трудности из-за невозврата НДС. Кому необходимо адресовать заявление о мошенничестве в данном случае?
Порядок выдачи квалифицированного сертификата ключа проверки электронной подписи (далее – квалифицированный сертификат) установлен статьей 18 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее — Закон № 63-ФЗ).
Несоблюдение требований данной статьи Закона № 63-ФЗ является основанием для приостановления аккредитации удостоверяющего центра (часть 7 статьи 16 Закона № 63-ФЗ) и привлечения аккредитованного удостоверяющего центра (далее — АУЦ) к административной ответственности, предусмотренной статьей 13.33 Кодекса Российской Федерации об административных правонарушениях. Уполномоченный орган – Минкомсвязь России.
Убытки третьих лиц, причиненные им в следствии их доверия к информации, указанной в квалифицированном сертификате, выданном АУЦ, или информации, содержащейся в реестре квалифицированных сертификатов, подлежат возмещению за счет предусмотренного пунктом 2 части 3 статьи 16 Закона № 63-ФЗ финансового обеспечения АУЦ своей ответственности в размере 30 млн рублей (как правило, по решению суда).
Заявление о совершенном, по Вашему мнению, преступлении полагаем целесообразным в целях определения подследственности направить в прокуратуру по месту совершения деяния, содержащего признаки преступления.
Подскажите, какую ответственность (финансовую и административную) несет УЦ за сертификаты, которые он выпускает? Если в какой-то сделке появится сертификат ключа проверки, выданный на имя Ивана Иванова, но с открытым ключом, не принадлежащим Ивану Иванову, какую ответственность согласно закону (ФЗ№?) понесет УЦ?
Удостоверяющий центр несет за выдаваемые им сертификаты ключей проверки электронных подписей имущественную ответственность (возмещает причиненные убытки) и административную ответственность, предусмотренную статьей 13.33 Кодекса Российской Федерации об административных правонарушениях. Несоблюдение аккредитованным удостоверяющим центром при выдаче квалифицированных сертификатов ключей проверки электронных подписей требований Федерального закона от 06.04.2011 №63-ФЗ «Об электронной подписи» также является основанием для приостановления Минкомсвязи России его аккредитации.
В случае выдачи сертификата ключа проверки электронной подписи, содержащего ключ проверки электронной подписи, соответствующий которому ключ электронной подписи не принадлежит лицу, указанному в качестве владельца сертификата, удостоверяющий центр обязан возместить убытки третьих лиц, причиненные им в следствие доверия к информации в таком сертификате, а также может быть привлечен к административной ответственности, предусмотренной частью 2 статьи 13.33. Кодекса Российской Федерации об административных правонарушениях.
Обоснование:
В соответствии с частью 3 статьи 13 Федерального закона от 06.04.2011 №63-ФЗ «Об электронной подписи» (далее — Закон № 63-ФЗ) удостоверяющий центр в соответствии с законодательством Российской Федерации несет ответственность за вред, причиненный третьим лицам в результате:
1) неисполнения или ненадлежащего исполнения обязательств, вытекающих из договора оказания услуг удостоверяющим центром;
2) неисполнения или ненадлежащего исполнения обязанностей, предусмотренных указанным законом.
При этом одной из установленных статьей 13 Закона № 63-ФЗ обязанностей удостоверяющего центра является отказ заявителю в создании сертификата ключа проверки электронной подписи в случае, если не было подтверждено то, что заявитель владеет ключом электронной подписи, который соответствует ключу проверки электронной подписи, указанному заявителем для получения сертификата ключа проверки электронной подписи.
Более того, согласно пункту 2 части 3 статьи 16 Закона № 63-ФЗ для аккредитации удостоверяющий центр обязан иметь финансовое обеспечение ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном таким удостоверяющим центром, в размере не менее чем 30 млн. руб.
В связи с этим в случае наличия в сертификате ключа проверки электронной подписи ключа проверки, соответствующий которому ключ электронной подписи не принадлежит лицу, указанному в качестве владельца сертификата, удостоверяющий центр обязан возместить убытки третьих лиц, причиненные им в следствие доверия к информации в таком сертификате. При этом требования к аккредитованному удостоверяющему центру могут быть удовлетворены за счет обеспечения его ответственности.
Аккредитованный удостоверяющий центр несет административную ответственность, предусмотренную статьей 13.33 Кодекса Российской Федерации об административных правонарушениях. В частности, частью 2 указанной статьи предусмотрена ответственность за выдачу аккредитованным удостоверяющим центром квалифицированного сертификата, содержащего заведомо недостоверную информацию о его владельце, в виде административного штрафа в размере от двухсот тысяч до двухсот пятидесяти тысяч рублей.
Закон о передаче ЭЦП другому лицу
Отметим следующую нестыковку: передача электронной подписи и ключа ЭЦП по Федеральному закону связана с сохранением конфиденциальности, то есть секретности информации от третьих лиц. Кроме того, закон №63—ФЗ указывает, что с помощью электронной подписи можно идентифицировать ее владельца. Даже при передаче ключа или без него невозможно фактически установить, кто именно подписывает документ с помощью ЭЦП — владелец, сотрудник или чужой человек. В этом случае пользователь, получающий документы и информацию, не имеет достоверных сведений и надеется на честность и законопослушность владельца.
Существует ли образец приказа о передаче ЭЦП?
Несмотря на то, что законодательство не содержит прямого запрета на подобные действия, регламентация этого процесса в нем также отсутствует. Не существует нормативных актов, которые описывали бы акт приема-передачи электронной подписи. Соответственно, четкого образца подобного приказа тоже не существует, а прямой необходимости составлять его — нет.
Однако ввиду отсутствия законодательного урегулирования судебные разбирательства, касающиеся таких ситуаций, нередки. Если руководитель компании желает обезопасить себя от подобных инцидентов в дальнейшем, он может составить акт передачи ЭЦП в произвольной форме.
В таком документе непременно должны быть упомянуты:
имена и должности
физических лиц,
представляющих стороны
бумаги и полномочия,
которые руководитель
передает доверенному лицу
реквизиты сертификата
ключа проверки
дата, когда совершается
сделка
При этом если сертификат хранится на специальном внешнем носителе (токене), в документе желательно обозначить его дальнейшее местонахождение.
И все же стоит помнить, что для контролирующих органов подобный документ не имеет юридического веса. Он может пригодиться только в процессе судебного разбирательства в качестве доказательства, что передача была осуществлена добровольно.