Практичні аспекти використання електронних документів, що містять відомості про особу

Размещено на http://www.allbest.ru/

Практичні аспекти використання електронних документів, що містять відомості про особу

Марусенко Р.І.

кандидат юридичних наук, доцент, Інститут права КНУ імені Тараса Шевченка

Прогрес у сфері інформаційних технологій прискорив розробку та впровадження нормативних механізмів, що дозволили визначити сутнісні характеристики документів в електронній формі, дозволити їх обіг та надати їм відповідного юридичного значення. Наразі нормативна база є досить розгорнутою, електронні документи використовуються у багатьох сферах. Особливості викори-стання документів в електронній формі лишаються актуальними для дослідження з огляду на практику їх використання та правові чи технічні механізми реалізації окремих рішень. В даній роботі ми ставимо за мету проаналізувати окремі проблеми практики ідентифікації та автентифікації особи, яка використовує цифровий аналог власноручного підпису, а також практики використання документів, які містять відомості, що ідентифікують особу.

За загальним правилом волевиявлення особи щодо правочину, який вчиняється в письмовій формі, фіксується у вигляді власноручного підпису (ст.207 Цивільного кодексу України). Такий підпис є унікальною послідовністю виконаних людиною знаків письма, яку лише вона може повторити багатократно без спотворення. Підпис дозволяє провести автентифікацію особи, яка проставила підпис, і підтвердити, що саме дана особа його виконала.

Підпис, який виконується в присутності свідків, також дозволяє стверджувати однозначно те, що особа, яка тримає в руках ручку, є тією, воля якої буде зафіксована у підписі. У разі виник-нення сумнівів щодо належності виконаного підпису певній особі, його унікальні характеристики дозволяють експерту оцінити вірогідність того, що підпис належить певній особі, і засвідчує саме її волевиявлення. І навпаки, існує можливість доведення факту підписання документа сторонньою особою (фальсифікації підпису). Фактично йдеться про автентифікацію на основі властивості суб'єкта - унікальних особливостей почерку.

Загалом автентифікація здійснюється з використанням трьох видів факторів - знання особою певної інформації, володіння чимось та властивості суб'єкта.

При накладанні електронного підпису мова йде про фактори володіння об'єктом, який має особа (закритий ключ у файловому носії удосконаленого електронного підпису чи в токені - кваліфікованого підпису) та знання (пароль захисту ключа). Теоретично може скластись ситуація, коли файловий чи захищений носій ключа було викрадено чи отримано в інший неправовий спосіб і використано для підписання документів. В такому разі, якщо власник підпису не помітив компрометацію ключа і не звернувся своєчасно за скасуванням сертифікату відкритого ключа, то доказування факту накладання електронного підпису неуповноваженою особою буде вкрай складним.

Криптографічні перетворення при перевірці підпису підтверджують факт використання для його генерації певного закритого ключа, який належить чітко визначеній особі. Водночас підпис ніяк не може підтвердити факт, що цим ключем скористався неуповноважений суб'єкт. В цьому кардинальна відмінність електронного підпису від власноручного. Лише другий має унікальний зв'язок з підписантом. Звідси маємо проблему у випадку проставлення електронного підпису без участі особи, яка є власником скомпрометованого ключа. Звісно, існує обов'язок бути обачним і контролювати ключ електронного підпису та його пароль захисту, проте ми розглядаємо ситуацію його втрати не з волі власника. Приклади зловмисної автентифікації, яка, як стверджується, мала місце з використанням ключа іншої особи, хоча й поодинокі, але наявні [1, 2, 3]. Зауважимо, що йдеться не про злам криптографічних алгоритмів, а саме про «злам» системи довіри, коли дійсний ключ був створений чи використаний всупереч процедурі / волі особи. Важливо зауважити, що при компрометації системи генерування ключів (людського компоненту чи виявлення вад про-грамної реалізації) можна ставити питання про ймовірну компрометацію усіх ключів, згенерованих за певний період часу і необхідність їх заміни. З юридичної точки зору це породжує питання про дійсність усіх документів, підписаних у період часу дії сертифікатів таких ключів.

Вважаємо, що порушене питання є комплексним і не має простої відповіді. Робота над його вирішенням має йти на випередження проблем, які неодмінно поставатимуть зі збільшенням питомої ваги електронних підписів в обігу.

З викладеною проблемою пов'язане питання використання електронних документів, які посвідчують особу за допомогою мобільних носіїв інформації. В даному разі також задіюється ланцюжок довіри. Перевірка документа про особу, який генерується на мобільному терміналі (включаючи унікальний ідентифікатор - QR код), проводиться шляхом інформаційної взаємодії із системою, якою користується особа, яка перевіряє документ. Проблеми, які виникають, наприклад, при використанні мобільного додатку Порталу Дія [4] полягають у тому, що поточна реалізація алгоритму перевірки вимагає наявності інтернет-з'єднання з серверною частиною системи для генерування QR коду, що не завжди є можливим (резервний код може бути з різних причин відсутнім на пристрої). Крім того, протягом нетривалої експлуатації системи вже мали місце випадки перерв у її функціонуванні на більш ніж 10 годин [5], що може бути критичним для верифікації документа для посвідчення особи в певний момент часу (наприклад, при посадці в потяг, на літак).

Експерти стверджують [6], що поточна реалізація є надмірно ускладненою і могла бути зроблена без додатків, які імперативно потребують інтернет-зв'язку для роботи. Це підтверджують і посадовці, відповідаючи на запитання щодо ситуації, коли мобільний додаток не працював: «ми навіть заздалегідь попередили поліцію про те, щоб під час переїзду, людей, яких вони зупиняли і в яких не генерувався QR-код на правах, вони перевіряли за номером посвідчення в своїй системі» [7]. Звідси маємо висновок - відсутність документа в особи при наявності такого документа в реєстрі не повинна бути підставо застосування до неї штрафних санкцій. Перевірка особи можлива шляхом співставлення інформації, яку отримує поліцейський, власне з особою.

Водночас, наведену цитату можна сприймати швидше як пояснення, що усе знаходиться під контролем у випадку збоїв у системі. Вочевидь, цьому твердженню можна протиставити численні судові рішення про застосування відповідальності в аналогічних ситуаціях [8]. Юридичні наслідки, вочевидь, залежать від норм права, які не мінялись. Наприклад, при пред'явленні водієм посвідчення водія та свідоцтва про реєстрацію транспортного засобу вимагається пред'явлення документа, сформованого засобами Єдиного державного веб-порталу електронних послуг, зокрема за допомогою мобільного додатка “Дія” [9]. Вочевидь, встановлення особи та перевірка її документів могли б бути проведені засобами перевіряючого без використання мобільного додатка за механізмом, який був процитований вище. Втім, такої можливості наразі законодавець не надає, потрібні законодавчі зміни.

Протилежний підхід мав місце в процедурі оформлення сертифікатів вакцинації. Відбулося надмірне спрощення, що виходить за межі принципу Окама і також призвело до негативних наслідків. Європейські рекомендації передбачають, що сертифікати мають видаватись органами охорони здоров'я, які провадили імунізацію і вносили дані про вакцинованого до централізованої системи обліку [10]. У вітчизняній системі дану функцію було відокремлено, що призвело, зокрема, до уможливлення внесення до валідного сертифікату неправдивих даних [11]. З огляду на недосконалість впровадженого механізму анонсовано в майбутньому можливість видачі такого документа лікарем, але як вказується, «...це великі доопрацювання, на кілька місяців» [7]. Стверджується, що подібні недоліки є еволюційними. Водночас, якщо з технічної точки зору це є допустимим як наслідок технологій гнучкої розробки аплікацій, то з юридичної сторони це є недоліком, адже юридична відповідальність може наставати у конкретний момент часу на підставі конкретних фактів. І вдосконалення технічних механізмів в майбутньому не призведе до ретроспективного переосмислення раніше вчиненого.

Розглянуті практичні ситуації яскраво ілюструють виклики, які виникають при впровадженні електронних документів і підтверджують, що даний процес має бути зваженим, поступовим та гарантувати захищеність прав та інтересів осіб, які можуть постраждати внаслідок прорахунків при відпрацюванні нових механізмів.

Використані джерела

електронний документ відомості особа

1. Фльонц В. Скандал з фальшивим «зламом» е-декларацій: хронологія подій URL: https://www.eurointegration.com.ua/ experts/2016/08/22/7053659/ (дата звернення: 20.11.2021).

2. Пилипенко О. Подпись Джо Байдена: ЭЦП в Украине могут подделать. Как это исправить? URL: https://tech.liga.net/technology/article/ podpis-djo-baydena-etsp-v-ukraine-mogut-poddelat-kak-eto-ispravit (дата звернення: 20.11.2021).

3. Корсун К. Цифровий апокаліпсис в Україні оголошується відкритим URL: https://dou.ua/forums/topic/33960/ (дата звернення: 20.11.2021).

4. Про затвердження Порядку формування та перевірки е-паспорта і е-паспорта для виїзду за кордон, їх електронних копій: Постанова Кабінету Міністрів України від 18.08.2021 №911 URL: https://zakon.rada.gov. ua/laws/show/911-2021-%D0%BF#n89 (дата звернення: 20.11.2021).

5. Грицик Т В «Дія» произошел сбой, пропали документы. Что делать URL: https://ain.ua/2021/11/02/v-prilozhenii-diya-proizoshel-sbojpolzovateli-poteryali-dostup-k-dokumentam/ (дата звернення: 20.11.2021).

6. Цифрові офлайн-документи надійніші, ніж онлайн-документи у «Дії». URL: zn.ua/ukr/TECHNOLOGIES/tsifrovi-oflajn-dokumenti-nadijnishi-nizh-onlajn-dokumenti-u-diji-kiberaljans.html (дата звернення: 20.11.2021).

7. Лукашова С. Михайло Федоров: Без «Дії» у нас кожен другий Covid-сертифікат був би, напевно, підроблений URL: www.pravda.com. ua/articles/2021/11/10/7313425/ (дата звернення: 20.11.2021).

8. Постанова Роменського міськрайонного суду від 8.11.2021, справа № 585/3236/21 URL: https://reyestr.court.gov.ua/Review/100881750 (дата звернення: 20.11.2021).

9. Про реалізацію експериментального проекту щодо застосування електронного посвідчення водія та електронного свідоцтва про реєстрацію транспортного засобу: Постанова Кабінету Міністрів України від 23.10.2019 №956. URL: https://zakon.rada.gov.ua/laws/show/956-2019-%D0%BF#Text (дата звернення: 20.11.2021).

10. Guidelines on Technical Specifications for Digital Green Certificates. Volume 4. European Digital Green Certificate Applications. Version 1.3. 2021-04-21.URL: https://ec.europa.eu/health/sites/default/files/ehealth/docs/ digital-green-certificates_v4_en.pdf (дата звернення: 20.11.2021).

11. The bug in the Ukrainian state portal «Diia» allows you to specify any date in the vaccination certificate. URL: twitter.com/vx_herm1t/ status/1457031694293340165 (дата звернення: 20.11.2021).

Размещено на Allbest.ru