Постійні виклики, що постають перед українською державністю, потребують прийняття сучасних рішень, які б були універсальними у вирішенні багатьох проблем. Сектор державного управління та економіки потребує радикальних змін, які б максимально оптимізували поточні процеси: зробили б їх швидкими, простими, безпечними, дешевими в адміністративному обслуговуванні.
Однак, використання ідентифікації, як інструменту встановлення особи, залишається необхідним і при здійсненні відповідних правовідносин в електронні площині. Постає питання в розроблені системи, яка б чітко надавала б дозвіл на вчинення певних дій, отримання інформації саме тій особі, яка має право на отримання такої інформації, або вчинення відповідних правочинів.
На допомогу приходять електронні засоби ідентифікації, які мають прив’язку до особи, яку необхідно ідентифікувати за абсолютно різними характеристиками. На жаль, технічне поширення та вдосконалення останніх засобів ідентифікації значно випереджає правове закріплення їх функціонування в українському законодавстві, тому зазначена сфера потребує додаткового аналізу й вивчення, розробки актуальних законодавчих пропозицій, зважаючи на новизну у технічному застосуванні та необхідність врегулювання процесів встановлення особи, адже це найголовніша стадія здійснення будь-якому правочину.
Метою дослідження є аналіз існуючої законодавчої бази та особливостей функціонування вже впроваджених засобів ідентифікації осіб в Україні, вивчення зарубіжних практик використання електронних цифрових ідентифікаторів, розробка пропозицій для законодавчого виправлення віднайдених проблем правового регулювання нових засобів ідентифікації, використання яких вже розвивається в Україні.
Правове регулювання електронних ідентифікаторів в Україні майже не розроблене на вітчизняному доктринальному просторі. Окремі статті Кирилюк Д., Левшакова С. Ф., Хілінського Ю. та Шпірко А. розглядають певні елементи цього процесу, тоді як комплексне вивчення теми та порівняльний аналіз відсутні.
За системного аналізу західних практик, можна виокремити наступний невичерпний перелік методів ідентифікації особи: порівняння біометричних даних як-то: фотокартка або відбитки пальців у паспорті з даними, які особа представляє власноруч; шляхом надання відомої тільки особі інформації про ідентичність або авторизацію (PIN або пароль); шляхом пред’явлення певного знаку, який має знаходитись виключно у володінні особи, про її ідентичність або авторизацію, як, наприклад, спеціальної чіп-карти або ключа до банківського сейфу; використання електронного підпису задля ідентифікації та автентифікації особи у контексті електронної комунікації [5, с. 45]; користування карткою громадянина (персональна ID-картка).
Що ж до українських практик, то, наразі, ми можемо виділити використання наступних видів електронних ідентифікаторів: електронний підпис, електронний цифровий підпис. А в найближчій перспективі використання, зважаючи на останні зміни в діючому законодавстві: електронний підпис одноразовим ідентифікатором; паспорт громадянина України у формі картки з безконтактним електронним носієм.
Відповідно до Законів України “Про електронний цифровий підпис” та “Про електронну комерцію”, а також, виходячи з практики застосування, останнім часом впроваджуються Bank ID та Mobile ID. При чому, якщо останній є взагалі новим ідентифікатором в Україні, то Bank ID, по суті, відрізняється від звичайного електронного цифрового підпису (далі – ЕЦП) лише прив’язкою до обслуговування відповідною банківською установою.
До того ж, статтею 12 Закону України “Про електронну комерцію” додатково було визначено “аналог власноручного підпису (факсимільного відтворення підпису за допомогою засобів механічного або іншого копіювання, іншого аналога власноручного підпису) за письмовою згодою сторін, у якій мають міститися зразки відповідних аналогів власноручних підписів”.
Керуючись категоріями “засіб іншого копіювання” та “інший аналог власноручного підпису” необхідно згадати безпосередньо електронний підпис.
Так, електронний підпис, відповідно до статті 1 Закону України “Про електронний цифровий підпис” визначається як дані в електронній формі, які додаються до інших електронних даних або логічно з ними пов’язані та призначені для ідентифікації підписувача цих даних [6].
Отримуємо ситуацію, коли абсолютно один і той самий елемент договору одночасно може виступати, з дефінітивної точки зору, і “аналогом власноручного підпису” і “електронним підписом”. В той час, як частина 3 статті 207 Цивільного кодексу України більш правильно розкриває категорію “аналог власноручного підпису”, зазначаючи, що ним є і факсимільне відтворення, і електронний підпис, і інші відтворення, не порушуючи при цьому цілісність включення одних категорій в іншу. Проте, в будь-якому випадку, основою використання аналогу власноручного підпису залишаються попередньо узгоджені сторонами зразки, таких підписів, які повинні бути у кожній із сторін правовідносин.
Стаття 1 Закону України “Про електронний цифровий підпис” надає нам і визначення ЕЦП, як вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа [6]. Що ніби цілком відповідає загальним уявленням про технологію відкритого та особистого (закритого) ключів.
Кожен ключ – це набір символів або файл, що зберігається, наприклад, на дискеті. Різниця в тому, що особистий ключ – абсолютно секретний і зберігається у свого власника (особи, яка підписує), а відкритий ключ – публічний. Крім власника, він може бути доступний усім учасникам, з якими той збирається обмінюватися інформацією, використовуючи ЕЦП. На відкритий ключ ЦСК видає сертифікат, який підтверджує, що ключ дійсно належить його власнику [11, с. 31].
В свою чергу, український порядок роботи з ЕЦП багато в чому відповідає європейському, зокрема, Директиві Європейського парламенту та Ради 1999/93/ЄС “Про правові підстави Співдружності для використання електронних підписів” [1, с. 76], яка, як стверджують науковці, використовує єдині підходи до вибору алгоритмів ЕЦП і шифрування [2, с. 90].
Під електронним підписом в ЄС запропоновано вважати дані в електронній формі, які додані до або логічно пов’язані з іншою електронною інформацією і є засобом перевірки автентичності.
“Електронний підпис удосконаленого типу” означає електронний підпис, який відповідає таким вимогам: однозначно пов’язаний з власником підпису, дає можливість ідентифікувати власника підпису, створений з використанням засобів. Які власник підпису може тримати виключно під своїм контролем, пов’язаний з інформацією, якої він стосується таким чином, що будь-які зміни в цій інформації, внесені після внесення підпису можуть бути виявлені.
Під “сертифікатом” розуміють електронне засвідчення, яке встановлює зв’язок між даними щодо сертифікації підпису і власником підпису та підтверджує його особу.
В той же час, стаття 3 Закону України “Про електронний цифровий підпис” уточнює правовий статус ЕЦП. Так, він прирівнюється до власноручного підпису (печатки) у разі, якщо: електронний цифровий підпис підтверджено з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису; під час перевірки використовувався посилений сертифікат ключа, чинний на момент накладення електронного цифрового підпису; особистий ключ підписувача відповідає відкритому ключу, зазначеному у сертифікаті. До того ж, він не може бути визнаний недійсним лише через те, що він має електронну форму або не ґрунтується на посиленому сертифікаті ключа.
Проте, українське законодавство не зовсім відповідає положенням європейського. Як стверджують А. Прокопенко та А. Шпірко, у відповідній Директиві Європейського парламенту і Ради “Про політику ЄС щодо електронних підписів” зазначається, що ЕЦП використовується як метод аутентифікації, а в законі – як ідентифікація [13, с. 36].
Дійсно, при вивченні окремих процесів, роботи з ЕЦП, необхідно зазначити, що, навіть на доктринальному рівні, і, звісно, на нормативному також, існує проблема розмежування таких категорій як “ідентифікація”, “автентифікація” та “авторизація”.
При системному аналізі поняття “ідентифікація”, можемо стверджувати, що дана категорія базується на процесах розпізнавання, встановлення, ототожнення, підтвердження. Приміром, Закон України “Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус” зазначається поняття “ідентифікація особи” як встановлення тотожності особи за сукупністю інформації про неї за допомогою основних (обов’язкових) та додаткових (факультативних) біометричних даних, параметрів [8].
Якщо звернутись до нормативного тлумачення поняття автентифікація, то, відповідно до ряду актів, зважаючи на сфери їх використання, ми зможемо отримати таке визначення: автентифікація – процедура встановлення належності користувачеві інформації в системі пред’явленого ним ідентифікатора. Приміром, таке визначення зустрічається в постанові Кабінету Міністрів України [9].
Тоді як “авторизація”, за одним з актів Національного банку України, визначалась як процедура отримання дозволу на проведення операції з використанням спеціального платіжного засобу [10].
Згадуючи визначення ЕЦП та загальний процес її використання, можемо зазначити, що, у випадку розуміння ідентифікації як “ототожнення”, ЕЦП нам важливий для співставлення окремого набору інформації з особою, однак, надалі, використання ЕЦП передбачає підтвердження самого права такого використання, що технологічно спостерігається в будь-якому програмному забезпеченні, процеси якого побудовані на використанні ЕЦП.
При виконанні певних дій підписувач повинен підтвердити саме право володіння наявним у нього ЕЦП. Таке підтвердження відбувається через введення паролю, а, як правило – двох. Тобто це вже є безпосередньо автентифікацією. І, у більшості випадків, після проведення автентифікації окремі системи, що працюють на основі ЕЦП не вимагають від підписувача проходження процедури авторизації – отримання дозволу. Хоча, якщо справа стосується значних фінансових операцій, то додатково авторизація може бути використана, з метою організації процесу більш безпечно.
Що ж до практик використання ЕЦП у країнах із схожою правовою системою, то, приміром, відповідні правовідносини з використанням електронного підпису та ЕЦП на території РФ регулюються Федеральним Законом “Про електронний підпис” [4].
Електронний підпис, в новому Федеральному Законі “Про електронний підпис” визначається як інформація в електронній формі, яка приєднується до іншої інформації в електронній формі (підписуваній інформації) або іншим шляхом пов’язана з такою інформацією і яка використовується для визначення особи, яка підписує інформацію [3].
З одного боку – така дефініція електронного підпису може, за змістом, визначити і електронний підпис за українським законодавством, але, надалі, у статті 2 закону [3], використовується поняття “ключ електронного підпису” та “ключ перевірки електронного підпису”.
Першому надається визначення унікальної послідовності символів, призначеної для створення електронного підпису. Тоді як друге – унікальна послідовність символів, однозначно пов’язана з ключем електронного підпису і призначена для перевірки справжності електронного підпису [3].
Останнім введеним в дію електронним ідентифікатором, в українському правовому полі, із усіх нами зазначених, на даний час, зважаючи на відносно нещодавне набуття чинності Законом України “Про електронну комерцію” є електронний підпис одноразовим ідентифікатором. Відповідно до закону, електронний підпис одноразовим ідентифікатором визначено як “дані в електронній формі у вигляді алфавітно-цифрової послідовності, що додаються до інших електронних даних особою, яка прийняла пропозицію (оферту) укласти електронний договір, та надсилаються іншій стороні цього договору” [7].
За описаним визначенням маємо ситуацію, коли особі, яка прийняла оферту (акцептантові), на етапі підтвердження укладання відповідного електронного договору, надсилається одноразовий ідентифікатор, яким згодом вводиться нею для підтвердження укладання такого договору. Такий спосіб є прийнятним, адже відбувається і перевірка контактного номеру, і встановлюється сам факт волевиявлення з приводу укладання такого договору.
Проте, в загальному ланцюгу забезпечення чинності договору, обов’язок ідентифікації покладається на самого акцептанта – замовника товарів чи послуг. Такий висновок можливо зробити на основі частини 8 статті 11 закону, в якій зазначається, що у разі якщо укладення електронного договору відбувається в інформаційно-телекомунікаційній системі суб’єкта електронної комерції, для прийняття пропозиції укласти такий договір особа має ідентифікуватися в такій системі та надати відповідь про прийняття пропозиції [7]. Іншими словами, мова йдеться про реєстрацію на сайті продавця із вказанням відповідних ідентифікуючих даних, необхідних для укладання електронного договору, зокрема ім’я та прізвища, номера мобільного телефону (в контексті використання електронного підпису електронним ідентифікатором), e-mail та інших даних.
Однак магазин, все рівно, не може точно перевірити надані параметри для ідентифікації, адже повідомлення з одноразовим ідентифікатором буде надсилатись на вказаний особою мобільний телефон без будь-якого встановлення особи. По суті, відбуватиметься лише підтвердження волевиявлення щодо особи із вказаними реєстраційними даними, провести ж дійсну належність цих даних зазначеній особі неможливо.
Саме в цьому контексті доцільно згадати ще один ідентифікатор, який ми визначали як такий, що вже поступово вводиться на практиці – Mobile ID. Технологія цього ідентифікатора полягає в тому, що повноваження з приводу підтвердження справжності особи надаються провайдеру телекомунікаційних послуг, зокрема, операторові мобільного зв’язку, і він виступає стороною, яка підтверджує особу суб’єкта електронних правовідносин.
Для цього оператор видає абонентові спеціальну SIM-картку, на яку, при реєстрації в мережі та видачі, вносить інформацію щодо особи (паспортні дані, унікальний ID з картки громадянина та ін.) Надалі, якщо особа бажає увійти, приміром, на певний сайт, підключений до системи Mobile ID, вона просто вводить свій особистий номер та номер мобільного телефону, після чого система відображає тимчасовий код як на сайті, на якому особа намагається здійснити вхід в систему, так і на мобільному телефоні цього ж користувача, аби впевнитись, що ініціювання входу розпочато з потрібним користувачем. Після підтвердження, абонентові пропонується ввести PIN-код, який надається оператором при реєстрації в системі SIM-картки, як тільки введення такого коду здійснено, сервер сайту отримує підтвердження від сертифікаційного центру оператора мобільного зв’язку, передає необхідні ідентифікуючі дані особи і вхід в систему виконується автоматично.
Така система є більш надійною, аніж запропонований Законом України “Про електронну комерцію” електронний підпис одноразовим ідентифікатором, де, по суті, обов’язок встановлення особи покладається на саму особу, і відсутня перевірка належності відповідних ідентифікаторів цій самій особі. В технології Mobile ID використовується сертифікаційний центр оператора мобільного зв’язку, так само, як і перевіряється справжність ЕЦП на основі закритого та відкритого ключів, тому цей спосіб є більш надійним, з точки зору встановлення особи користувача.
До того ж, зважаючи на той факт, що статтею 9 Закону України “Про електронну комерцію” передбачена і участь постачальника послуг проміжного характеру у сфері електронної комерції, яка, по суті, в окремих процесах дозволятиме використання технологій провайдерів, в т.ч. операторів мобільного зв’язку, які цілком ймовірно, можуть бути залучені до процесу ідентифікації на окремих договірних засадах з продавцем (наприклад, на основі технології Mobile ID).
Однак, Mobile ID, хоч і є більш простим в обслуговуванні через відсутність потреби видавати окремий матеріальний носій закодованої інформації (як у ситуації з використанням ЕЦП), проте крадіжка телефону, з якого попередньо запам’ятали введений PIN-код видається більш вірогідною, аніж крадіжка ЕЦП, який використовується лише в конкретних випадках, та обслуговується двома паролями, які необхідно ввести при його використанні.
В контексті ж пошуку використання більш безпечного варіанту, як бачимо, знову повертаємось до ЕЦП, та є ще один ідентифікатор, більш універсальний за значенням та маючий в собі той самий електронний цифровий підпис – картка громадянина, або ж ID-картка, яка в українському законодавстві відображена як паспорт громадянина України у формі картки з безконтактним електронним носієм.
Відповідно до Закону України “Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус “, а саме – частини 7 статті 21, до такого паспорту буде вноситись наступна інформація: назва держави; назва документа; ім’я особи; стать; громадянство; дата народження; унікальний номер запису в Реєстрі; номер документа; дата закінчення строку дії документа; дата видачі документа; уповноважений суб’єкт, що видав документ (код); місце народження; відцифрований образ обличчя особи; відцифрований підпис особи.
За анонсами Державної міграційної служби, цифровий підпис, який містиметься в картці значно полегшить роботу у процесах встановлення особи, її ідентифікації при здійсненні певних операцій, однак, зважаючи на інформацію, яку містиме документ відповідно до закону, важно стверджувати, чи це буде технологія звичайного електронного підпису, чи саме ЕЦП. Звичайно, більш вірогідним та правильним видається останній варіант, коли за основу, буде використовуватись унікальний реєстраційний номер громадянина.
Незважаючи на те, що в Україні вже почали використовуватись електронні ідентифікатори, зокрема такі як електронний підпис, електронний цифровий підпис, електронний підпис одноразовим ідентифікатором, Mobile ID та Bank ID, а у перспективі – картка громадянина, більшість з них потребують більш досконалого визначення в законодавстві, чіткого виокремлення ключових процедур та процесів, не кажучи про потребу повноцінної легалізації Mobile ID.
ЕЦП необхідно доопрацювати коректними визначеннями понять “ідентифікація”, “авторизація” та “автентифікація”. Змін у частині сприйняття аналогу власноручного підпису, потребує новий Закон України “Про електронну комерцію”. Додаткова увага необхідна моделі використання електронного підпису одноразового ідентифікатора, з поступовим переходом до використання Mobile ID, що зробить процес підтвердження особи більш чітким, без покладання основного суб’єктивного чинника на саму особу, яку ідентифікують.
Новим та достатньо перспективним ідентифікатором є картка громадянина, однак поки нормативно не встановлено її особливості використання у якості ЕЦП, та є певні розходження між визначенням та характеристиками у відповідному законі та піднормативних актах.
[spoiler title=”Список використаних джерел”]
- Кирилюк Д. Правові засади використання електронних розрахункових документів та електронних підписів в банківській діяльності / Д. Кирилюк // Юридичний журнал. – 2005. – № 10. – С. 73–78.
- Левшаков С.Ф. Проблеми становлення електронного цифрового підпису в Україні / С. Ф. Левшаков // Міжнародна банківська конкуренція : теорія і практика: збірник тез доповідей V Міжнародної науково-практичної конференції (27 – 28 травня 2010 р.) : у 2-х т. / Держ. вищий навчальний заклад “УАБС НБУ”. – Суми: ДВНЗ “УАБС НБУ”. – 2010. – Т. 1. – С. 90–91.
- Об электронной подписи : Федеральный закон от 6 апреля 2011 г. № 63-ФЗ [Электронный ресурс]. – Режим доступа: http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=165011;fld=134;dst=100217;rnd=0.09538042219355702. – Название с экрана.
- Об электронной цифровой подписи : Федеральный закон от 10 января 2002 г. № 1-ФЗ [Электронный ресурс]. – Режим доступа: http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=72518;div=LAW;mb=LAW;opt=1;ts=5A89DA5CC81CB79272AEC10AAC21662C;rnd=0.7280829693190753. – Название с экрана.
- Посібник з европейського права у сфері захисту персональних даних. – К.: К.І.С., 2015. – 216 С.
- Про електронний цифровий підпис : Закон України від 22 травня 2003 р. № 852-IV // Відомості Верховної Ради України. – 2003. – № 36. – Ст. 276.
- Про електронну комерцію : Закон України від 03 вересня 2015 р. № 675 VIII // Офіційний вісник України. – 2015. № 78. – Ст. 2590.
- Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус : Закон України від 20 листопада 2012 р. № 5492-VI // Відомості Верховної Ради України. – 2013. – № 51. – Ст. 716.
- Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах : Постанова Кабінету Міністрів України від 29 березня 2006 р. № 373 // Офіційний вісник України. – 2006. – № 13. – Ст. 878.
- Про здійснення операцій з використанням спеціальних платіжних засобів : Постанова Правління Національного банку України від 30 квітня 2010 р. № 223 // Офіційний вісник України. – 2010. – № 52. – Ст. 1747.
- Хілінський Ю. Як працювати з електронним цифровим підписом / Ю. Хілінський // Все про бухгалтерський облік. – 2005. – № 25. – С. 31–32.
- Цивільний кодекс України : Кодекс України від 16 січня 2003 р. № 435-IV // Відомості Верховної Ради України. – 2003. – № 40. – Ст. 356.
- Шпірко А. Запровадження та ефективне використання електронного документообігу й електронного підпису в Україні: проблеми, нові можливості, шляхи розвитку / А. Шпірко, А. Прокопенко // Вісник Національного банку України. – 2005. – № 3. – C. 36–41.
[/spoiler]
© 2016, Михайло Горкуша