Адрес документа: http://lib.itsec.ru/forum.php?sub=5391&from=0
| Автор: Амир Хафизов, ITSec.Ru | 24119 | 06.12.2010 10:09 |
|
Тема выделена из темы "Законопроект об электронной подписи: поправки ко 2 чтению, октябрь 2010" http://itsec.ru/forum.php?sub=5368
7/12/2010 15:15 |
|
| Автор: msm, Top Cross | 24105 | 06.12.2010 20:25 |
|
to malotavr:
Я кажется понял в чём наше непонимание друг друга, Вы считаете что DVCS и организация оказывающая эти услуги вторгаются в правовое пространство, в котором деятельность регулируется ФЗ о нотариате. Уверяю вас это совсем не так, более того я не очень представляю как сделки связанные с нотариальном оформлением можно вообще закреплять ЭЦП, поскольку не прописана процедура преобразования ЭД в бумажный , брошюрования и т.п. или визирования нотариатом ЭЦП (то что вы приводили в 160 статье ГК) И поэтому ваш пример про недвижимость (сделки с которой строго нотариально регулируются), ранее приведённый был крайне неудачен. Речь идет об отношениях которые в праве исполняться БЕЗ нотариального присутствия и таких отношений подавляющая масса. И ещё, просто вам для информации, если вспомнить ГОСТ определяющий юрсилу документа, то "должное оформление" - это как раз метаданные, реквизиты сопровождающие документ, другой ГОСТ определяет их число штук в 30, ПП от 2009 года в части госуслуг таких реквизитов определяет 24 штуку, так вот ЭЦП - это один из ..., т.е. семантики DVCS не проводит и поэтому не может заверять сделки изначально, поскольку это прерогатива ИС обрабатывающей конкретные виды документов, более простыми словами, речь идёт о том что указ президента не может быть подписан уборщицей, пусть даже если ЭЦП действительна, т.е. весть этот круг особенностей лежит вне плоскости ЭЦП и DVCS, а определён спецификой информационной системы, её регламентом, составом метаданных сопровождающих документ и т.п.. Вот вы ранее Польшу упоминали, а вы вот например знаете, что даже с квалифицированной ЭЦП у них есть придел суммы сделки по закону (на основании § 4 пункт 8 Закона о Государственных Закупках от 29.01.2004 г. (Вестник Законов Польши № 19, поз.177 с последующими изменениями) не применяются нормы вышеуказанного закона, по поводу того, что стоимость в злотых не превышает 14 000 Евро**.), ну не может DVCS брать на себя функции читать этот параграф вестника законов, и не закрепляйте за ним этого (а потом ещё и упрекаете почему он этого сделать не может) - всё это исключительно прерогатива прикладной системы и НПА в рамках которой она функционирует. Основа функционирования DVCS - это ФЗ-1 " может предоставлять участникам информационных систем иные связанные с использованием электронных цифровых подписей услуги." + договорных отношений с участниками обмена. Всё остальное НЕ приписывайте за DVCS! |
|
| Автор: Вычислитель | 24112 | 07.12.2010 13:12 |
|
Уважаемые Малотавр и MSM, другие участники дискуссии!
В нашей дискуссии заочно принял участие уважаемый эксперт, советник департамента Минкомсвязи, который очно выскажется здесь чуть позже. Я получил от него добро на цитату его ответа. Итак: "Коллеги, Вычислитель переслал мне эту интересную дискуссию. В ней я пожалуй займу сторону Малотавра (которого лично не знаю). Я согласен, что в России пока нет правовой основы для действий ДТС (Доверенная Третья Сторона, а DVCS - один из ее сервисов - доплнение Вычислителя для тех, кто только что к нам присоединился :-)). Такая основа сейчас формируется в международном формате - КТС в рамках известного Соглашения об электронных документах. Более того, подобная дискуссия у меня уже была (и на повышенных тонах) с MSM. Он с моей точки зрения недооценивает важность институциональной "обвязки" технологии ДТС-DVCS (правовой, судейской и страховой), которая является обязательной для функционирования например бумажного документооборота. Через несколько часов я буду в Женеве, где выступлю на саммите ЕЭК ООН по этой теме, попробую внести российскую инициативу, которая хорошо известна. По возвращению приглашаю уважаемого Малотавра к диалогу." |
|
| Автор: msm, Top Cross | 24113 | 07.12.2010 13:25 |
|
Вношу ясность, на повышенных тонах я с уважаемым экспертом никогда не общались, вы меня с кем то спутали :-)
Однако я остаюсь при своём мнении, поскольку повторюсь что написал в последнем посте, DVCS не делает заключения о правовых последствиях ЭЦП, DVCS не заверяет подписи и сделки и т.п. факты изменения прав, DVCS ни коем образом не анализирует наличие признаков необходимых для того чтобы считать документ юридически значимым, DVCS не анализирует иные реквизиты-метаданные документа, DVCS всего на всего собирает доказательную базу о действительности ЭЦП как математической формуле + анализ целостности сертификата автора и отсутствие его номера в СОС (СОС проверяется на целостность и также прикладывается к квитанции), "оформляет должным стандартным образом" и защищает своей ЭЦП. Этот комплект документов не подменяет волеизъявление субъекта информационного обмена и не делает ЭД юридическисильным, а лишь предоставляет в веденье доказательную базу. Вот скажите мне, какая специальная НПА должна ещё быть? Скажу даже более, в соответствии с ныне действующим ФЗ-1 Статья 9 п. 1 - УЦ вменяется в обязанность выдавать заключения по действительности ЭЦП (осуществляет по обращениям пользователей сертификатов ключей подписей подтверждение подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей;) и в этом случае DVCS который сам фактически ничего не делает является транспортом - протоколом позволяющим выполнять Статью 9 средствами нескольких УЦ. |
|
| Автор: malotavr | 24114 | 07.12.2010 14:09 |
|
> Вношу ясность, на повышенных тонах я с уважаемым экспертом никогда не общались, вы меня с кем то спутали :-)
Я общался. К сожалению, есть досадный недостаток - если обсуждаемая тема для меня важна, а найти общий язык с оппонентом не удается, веду себя не совсем адекватно. Большинство моих оппонентов к этому привыкло и, надеюсь, не обижается, но все равно неудобно получается. Разумеется, я бы предпочел вести диалог в ключе "есть проблема - давайте решим ее вот так", просто хотелось бы, чтобы все участники ообсуждения относились с разумной критикой как к аргументам оппонентов, так и к собственным аргументам. Просто для примера: > Однако я остаюсь при своём мнении, поскольку ... DVCS не делает заключения о правовых последствиях ЭЦП, DVCS не заверяет подписи и сделки Я был бы очень признателен, если бы мой оппонент провел параллель между: - "собирает доказательную базу о действительности ЭЦП ... оформляет должным стандартным образом и защищает своей ЭЦП" (о DVCS) и - "5) свидетельствует подлинность подписи на документе" (законодательно определенное нотариальное дейстие). Я не вижу между ними разницы, поэтому утверждаю, что и прервое, и второе - одно и то же нотариальное действие. Если опонент может указать принципиальную разницу - это будет здорово. Если нет - может быть, ему имеет смысл скорректировать свое мнение. |
|
| Автор: msm, Top Cross | 24115 | 07.12.2010 14:15 |
|
А давайте с другого бока зайдём, давайте вспомним УЦ ФЗ-1 статью 9 п.1 которую я тут приводил, по вашему мнению действующий ФЗ-1 наделяет УЦ статусом нотариуса или нет, если не наделяет (что есть на самом деле), то вот вам и разница чем отличается проверка ЭЦП от "5) свидетельствует подлинность подписи на документе".
Такой ответ устроит? |
|
| Автор: msm, Top Cross | 24116 | 07.12.2010 14:24 |
|
В догонку вспомнилось, что "5) свидетельствует подлинность подписи на документе" например ещё гендиректор в отношении подписей своих сотрудников или отдел кадров, они тоже все нотариусы?
-------------------------- И по поводу собирает доказательства - дело в том, что CRL формирует УЦ (в соответствии с ФЗ-1) Реестр сертификатов тоже ведёт УЦ по закону, для проверки ЭЦП надо все эти данные собрать а далее выполнить вычисление формулки, и я не думаю что это все называется "свидетельство подлинности", в противном случае как за день выполняю сотни таких нотариальных действий в части ЭЦП других субьектов, но я ни есть нотариус. Что то в определении тут не так, либо расшифровку надо более детально изучать. |
|
| Автор: msm, Toip Cross | 24118 | 07.12.2010 14:39 |
|
Я кажется нашёл различие которое должно вас удовлетворить:
Вот дословно: Свидетельствование подлинности подписей на заявлениях и иных документах Нотариальные действия Нотариус свидетельствует подлинность подписи на документе, содержание которого не противоречит законодательным актам Российской Федерации. --------------------------------------- Тем самым нотариус ещё заглядывает внутрь документа а DVCS этого по понятным причинам не может делать. Т.е. из действий нотариуса следует юридическая сила документа как оформленного должным образом в соответствии с НПА РФ, а квиток DVCS не придает юридической силы документу, я уже где то это уже писал. Всё оказалось просто :-) |
|
| Автор: malotavr | 24121 | 07.12.2010 15:16 |
|
Спасибо.
msm, беру тайм-аут на пару дней для повторения матчасти и уточнения своей позиции. |
|
| Автор: msm, Top Cross | 24131 | 08.12.2010 08:24 |
|
Возможно будет всем полезно вспомнить отсылочные нормы:
Юридическая сила определена в ГОСТ Р 51141- 98, как свойство официального документа, сообщаемое ему действующим законодательством, компетенцией издавшего его органа и установленным порядком оформления. Специалисты по ДО говорят, что это не очень удачное определение, но другого я не знаю. Я так понимаю, что вслед за упоминанием о "установленный порядок оформления" тянутся требования к реквизитам документа. Рекомендации по составу реквизитов документов без конкретизации сферы их применения стандартизированы в России в «ГОСТ Р 6.30-2003. Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов», в котором описано 30 возможных реквизитов. Применительно к сфере государственного управления установлен перечень из 24 реквизитов, которые зафиксированы в пункте 10 Правил делопроизводства в федеральных органах исполнительной власти, утвержденных постановлением Правительства Российской Федерации от 15 июня 2009 г. № 477. Из всего этого вытекает, если отложить в сторону "официального документа, сообщаемое ему действующим законодательством, компетенцией издавшего его органа" поскольку это уже совсем специфика прикладного уровня, то автоматизировав проверку действительности остальных реквизитов к документу (по ЭЦП считаем что уже умеем проверять действительность через DVCS) можно существенно продвинуться в направлении более полной автоматизации процесса установления (наделения) юридической силы документа. |
|
| Автор: malotavr | 24240 | 13.12.2010 23:02 |
|
> Юридическая сила определена в ГОСТ Р 51141- 98
Специалисты по ДО совершенно правы, поскольку это - не определение. Вы не можете на основании этого определения сказать своими словами, в чем же именно заключается эта самая юридическая сила официального документа. Других определений нет, в теории права понятие "юридическая сила" используется только по отношению к НПА (т.е. к действиям органов власти) и означает только правило выбора - какое из противоречивых действий важнее. Кроме того, в силу ФЗ "О техническом регулировании" ГОСТы являются документами добровольного применения, и источниками права не являются. Поэтому давайте для начала поймем, разрешает ли законодательство использовать DVCS. Основную проблему применения DVCS я вижу в гражданско-правовых отношениях. Рассмотрим ситуацию: две стороны хотят установить некоторые гражданские правоотношения. Действием, направленным на установление таких правоотношений является договор – действие, результатом которого стало выражение согласованной воли двух и более лиц и направленное на установление, изменение или прекращение их прав и обязанностей (ст. 153-154 ГК РФ). Допустим, договор заключен в письменной форме (статья 160 ГК РФ) в виде документа, подписанного ЭП – аналогом собственноручной подписи. Допустим, одна из сторон (A) не имеет возможности проверить ЭП второй стороны (B), и возникла потребность в привлечении доверенной третьей стороны (DVCS). ГК РФ предусматривает следующие случаи, когда в письменной форме может появиться подпись третьей стороны: 1. DVCS является уполномочен подписать договор _вместо_ B (п . 1 статьи 160 ГК РФ) 2. Участники договорились, что в договоре наряду с ЭП B должна присутствовать подпись DVCS (абзац 4 п. 1 статьи 160 ГК РФ) 3. DVCS является нотариусом или иным должностным лицом, имеющим право удостоверять сделку (статья 163 ГК РФ) Никаких других случаев, когда в в договоре кроме подписей А и B появляется чья-либо еще подпись , кроме A и B, ГК РФ не предусматривает. В случае 1 полномочие DVCS подписывать документ вместо В должно следовать из подписанной В доверенности, закона, иного нормативного акта или обстановки, в которой действует DVCS. Закон или иной нормативный акт, дающие DVCS полномочие подписывать документ вместо В, нет. Доверенность должна быть подписана В, а проверить его подпись А не может. Обычаев делового оборота, на основаны которых можно было бы сказать, что полномочия DVCS следуют из обстоятельств совершения сделки, нет. В случае 2 использование DVCS в качестве доверенной третьей стороны должно оговариваться соглашением сторон, а мы как раз и не можем такое соглашение подписать. В случае 3 DVCS должен быть нотариусом или иным лицом, уполномоченным законом удостоверять сделки. Он таковым не является. Все, никаких других случаев, в которых DVCS мог бы поставить свою подпись под документом, ГК РФ не предусматривает. В результате мы имеем несоблюдение простой письменной формы сделки. Если при этом А или В не являются резидентами РФ, это влечет ничтожность сделки (п. 2 статьи 162 ГК РФ). Таким образом, основное различие между нотариусом т DVCS заключается в том, что нотариус имеент право подтвердить для D подпись А, а DVCS такого права не имеет. Оспорите? |
|
| Автор: malotavr | 24241 | 13.12.2010 23:11 |
|
> по вашему мнению действующий ФЗ-1 наделяет УЦ статусом нотариуса
Нет. И, заметим, УЦ никак не участвует в проверке подписи. Он лишь подтверждает, что в определенный момент времени субъект являлся обладателем открытого ключа, соответствующего тому закрытому ключу, с помощью которого была следелана подпись. > Т.е. из действий нотариуса следует юридическая сила документа как оформленного должным образом в соответствии с НПА РФ Действительно, закон не разрешает нотариусу удостоверять произвольные документы. Только не потому, что "из действий нотариуса следует юридическая сила", а потому, что "хрен знает, что это за бумажка, поэтому ни за какие коврижки я не имею права поставить на нее подпись". :) Т.е. нотариус может удостоверять только те документы, которые перечислены в определеных НПА и имеют реквизиты, определеные этими НПА. а DVCS не имеет даже таких ограниченных полномочий :) |
|
| Автор: msm, Top Cross | 24243 | 14.12.2010 10:01 |
|
Я что то не допонимаю, один и тот же факт вы называете разными словами и это даже не спор а просто от нечего делать сотрясание воздуха:
1. Вот вы пишите, что "УЦ никак не участвует в проверке подписи. " а я вам привожу требование из ФЗ-1 Статья 9: " осуществляет по обращениям пользователей сертификатов ключей подписей подтверждение подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей;" Тут нет ни слова про ключи! И ещё каким образом можно "подтверждать подпись" если подпись не проверить? 2. Вы пишите "Действительно, закон не разрешает нотариусу удостоверять произвольные документы. Только не потому, что "из действий нотариуса следует юридическая сила", а потому, что "хрен знает, что это за бумажка, поэтому ни за какие коврижки я не имею права поставить на нее подпись". :)" А кто вам это сказал то? Где написано в НПА слово "хрен"? Вот ну а чём вы спорите, сделайте запрос во ВНИИДАД и пусть вам разъяснят почему нотариус заверяет только документы соответствующие НПА. 3. Вы совершенно правы, что DVCS не заглядывает внутрь контента, не может определить соответствует данный документ по содержанию и составу метаданных с требованиями НПА и именно поэтому то что делает DVCS ни коем образом не является нотариальным действием и робот-железка не подменяет человека-нотариуса. |
|
| Автор: msm, Top Cross | 24244 | 14.12.2010 10:10 |
|
Не заметил первое длиннющее письмо от вас, вы в самом начале сделали неправильное утверждение, а именно:
"2ГК РФ предусматривает следующие случаи, когда в письменной форме может появиться подпись третьей стороны:" DVCS не подписывает в виде кого то третьего сделку, не заверяет её, я об этом уже ранее писал, давайте по кругу не ходить. DVCS всего на всего осуществляет услугу по проверки ЭЦП (собирает доказательную базу, формирует подписанный собой ответ, проверяет формулу подписи, заглядывает в CRL проверяя отсутствие в них сертификата автора , проверяет их целостность, строит цепочку сертификации ...) и все эти действия DVCS выполняет в рамках заключённого ранее договора с пользователем (от которого он получает запрос) в строгом соответствии с ознакомленном под роспись регламентом оказания такой услуги. И в это регламенте написано битым словом, что DVCS не является участником сделки, его квиток не подменяет волеизъявление (ЭЦП) участника сделки, он не подписывает ВМЕСТО участника ну и так далее я где то тут это всё уже писал - де жа вю одним словом. Это понятно? |
|
| Автор: malotavr | 24255 | 14.12.2010 15:07 |
|
> DVCS не подписывает в виде кого то третьего сделку, не заверяет её, я об этом уже ранее писал, давайте по кругу не ходить.
Давайте не ходить по кругу - пойдем более простым путем. Я вам описал заключения двустороннего договора путем подписания документа ЭП сторон так, как его представляет ГК. Какое отношение к этому процессу имет квитанция, выданная неким DVCS? На каком основании? На основании договора между DVCS и А? На основании регламента DVCS? А какое отношение этот лдоговор и этот регламент имеют к договору между А и В? > Вот вы пишите, что "УЦ никак не участвует в проверке подписи. " а я вам привожу требование из ФЗ-1 Статья 9 Ошибся, признаю. В этом случае УЦ не является нотариусом, но является лиwом, уполномоченным законом свидетельствовать подлинность подписи. И что из этого следует? > "Действительно, закон не разрешает нотариусу удостоверять произвольные документы". А кто вам это сказал то? Закон :) Тот самый, который установил закрытый перечень нотариальных действий, которые может совешить нотариус. Нотариус может удостоверить только тедокументы, содержание которых не противоречитзаконодательству и НПА. Разница между содержанием и возникающими в силу этого содержжания правоотношениями понимаете? Содержание документа может не противоречить нормативным актам, и при этом он может быть юриически ничтожным. Примеры нужны? > DVCS ни коем образом не является нотариальным действием и робот-железка не подменяет человека-нотариуса. Правильно. Отсюда возникает вопрос: на каком основании вы решили, что решения, которые принимает робот-железка, могут оказывать влияние на установление, изменение или приекращение прав и обязаностей субъектов права? > Вот ну а чём вы спорите, сделайте запрос во ВНИИДАД Позиция ВНИИДАДа мне неинтересна - мне интересна ваша правовая позиция. Можете ее изложить - welcome. Не можете и не имеете своей собственной - так и напишите. Я рассмотрел все возможные способы участия DVCS в заключении двусторонней сделкти и ни в одну из них ваш сценарий не укладывается. |
|
| Автор: AIB | 24256 | 14.12.2010 15:14 |
|
2msm:
Можно в 2 словах пояснить, чем описанные функции DVCS отличаются от нотариального заверения? Нотариус ведь также не подписывает документы вместо участника, не подменяет его волеизъявление и т.п.? Он именно что проверяет верность оформления и подлинность исходного документа. Или если вопрос задать иначе: да, деятельность DVCS юридически не вызывает вопросов - он оказывает некоторые технические услуги по заключенному договору. Но что потрбителю такой услуги делать с полученными от DVCS данными? Т.е. как он, потребитель услуг DVCS, сможет юридически обосновать уже свои действия в отношении третьего лица, чья ЭЦП проверена DVCS, в случае, когда эти действия основаны на полученных от DVCS данных об успешной проверке (а иначе зачем и огород городить)? |
|
| Автор: AIB | 24257 | 14.12.2010 15:18 |
|
Извиняюсь за некоторое дублирование - пока писал, появилось сообщение от malotavr
|
|
| Автор: msm, Top Cross | 24259 | 14.12.2010 15:32 |
|
To AIB:
1. DVCS и нотариальное заверение, внимательней прочитайте что написано ранее, malotavr ранее приписывал DVCS функию заверения подписи лица, которое ставит подпись вместо кого то в соотвестивиис частью 3 160 Ст. ГК. Потом мы выяснили что DVCS этого не делает. 2. Это чисто техническая штука которая помогает собрать доказательную базу и её офрмить, по идее этой базы вполне должно быть достаточно чтобы отдать экспертной технической комиссии при разборе полётов в суде. Самостоятельно пользователь может быть не в состоянии собрать всё это и правильно оформить (где надо штампы времени приляпить из правильных эталонов и т.п.) 3. квиток DVCS НИ ГДЕ не фигурирует в процессе офорпмления сделок - это как я говорил ни какая ни визирующая подпись поверх или ещё какая придумка - это фактический материал, который одна из сторон (или обе но каждая самостоятельно) могут учитывать при принятии решения подписывать конкретный документ или нет. 4. Про третье лицо я не очень понял, что пользователь должен обосновать и перед кем. Пользователь если что может перенести регрессивную ответственность на DVCS если тот собрал неверные сведенья, в свою очередь DVCS может выкатить претензию другому (другим) DVCS в трансграничном режиме что это они неверную доказательную базу собрали и тем самым исходный пользователь избежит ответственности. Так понятней написал? -------------------- по письму malotavrf -я прекращаю ходить по кругу, у нас цитирование идёт одного и того же в разных вариациях - непробуктивный разговор. |
|
| Автор: AIB | 24264 | 14.12.2010 16:29 |
|
2. - То есть исходную подпись пользователь (клиент) DVCS проверить самостоятельно не может?
3. - Не совсем верно, как минимум в случае отказа третьего лица от исходного документа, клиенту DVCS придется привлекать DVCS как лицо, которому "на аутсорс" отдана функция проверки подписи. Кстати, DVCS нужно также защищенно передать своим клиентам информацию о результате проверки, т.е. гарантируя уже ее целостность и достоверность. 4. Если некто A передает некоторому B документ, на основании которого B совершает какие-то действия, то в случае, если A станет оспаривать факт передачи такого документа B, B должен будет обосновать, почему (на основании чего) он совершил такие действия. Т.е. предполагаемая схема - по сути, есть некий аутсорс проверки ЭЦП, при котором между B и DVCS заключается договор о том, что весь ущерб в случае оспаривания авторства либо содержания исходного документа покрывает DVCS? Я правильно понимаю? |
|
| Автор: msm, Top Cross | 24268 | 14.12.2010 17:08 |
|
2. Не обязательно не может физически, может быть он не хочет брать на себя такую ответственность, может быть у него нет сертифицированного буржуйского железа, может он не имеет право его легитимно использовать, может ему требуется просто откуда то со стороны зафиксировать факт во времени (от правильного эталона) проверки ЭЦП, что он вообще подпись проверял - много всяких "зачем" на самом деле.
3. Не понял, а кто у нас тут есть третье лицо? пользователь работает с DVCS в рамках договора , кто от чего отказывается? Хочу заметить что то что собрал DVCS в свою очередь тоже защищено ЭЦП и я не очень понял в чём трудность привлечь или не привлечь DVCS, ясное дело что DVCS не может стать ответчиком именно в этом деле, но может стать ответчиком в регрессивном иске от вас, если будет признано что накосячил DVCS или его контрагенты в забугорье. На тему целостности и защищенности см. RFC 3029 4. Почти правильно, только про ущерб надо разговаривать в каждом конкретном случае. DVCS выполняет определённый функционал описанный в регламенте вот за него он и отвечает, если вы говорите о косвенных убытках, то какие риски либо страхуют либо отдельно рассматривают и обсуждают и в конце концов всё упрётся в стоимость квитка DVCS :-) |
|
| Автор: malotavr | 24273 | 14.12.2010 20:15 |
|
> у нас цитирование идёт одного и того же в разных вариациях - непробуктивный разговор.
Почему же - благодаря AIB мы сдвинулись с мертвой точки :) > квиток DVCS - это фактический материал, который одна из сторон (или обе но каждая самостоятельно) могут учитывать при принятии решения подписывать конкретный документ или нет. Т.е. мы пришли к общему знаменателю: результат работы DVCS - некоторые сведения, которые клиент службы может учитывать при принятии решения. А может и не учитывать- решение он принимает самостоятельно. Как вы себе это представляете? Вот вы отправляете в банк платежное поручение. В случае нормального функцилонирования ЭЦП банк кбеждается в корректности ЭЦП и с этого момента обязан выполнить ваше поручение. В случае DVCS получается цирк с конями: банк отправляет платежку в DVCS, DVCS подтверждает подлинность подписи, а банк, невзирая на это, отказывается признавать подпись (может ведь?) и отказывает вам в проведени операции. |
|
| Автор: msm, Top Cross | 24275 | 14.12.2010 20:44 |
|
1. Сдвиг произошёл из-за того что вопросы были практические.
2. Про квиток DVCS - совершенно верно, может использовать, а может и нет и никто его заставить это сделать не может, поскольку решение субъекта волеизъявления не подменяется! Об этом я писал уже тут несколько раз ! 3. Ни какого танца с бубном и конями не происходит, например в той же Польше их аналог ФНС принимает отчётность изначально сопровождаемую DVC-квитками о действительности подписи. Банк - это такое же юрлицо - оно может вас обокрасть, сделать что то противозаконное или наоборот поступить логично и по закону :-) |
|
| Автор: AIB | 24280 | 14.12.2010 22:01 |
|
Ну, цирк не цирк, просто дополнительные танцы, с точки зреия клиента банка - внутрибанковские. То есть, в случае с банком, если я правильно понял, обстоять будет примерно так:
1. Банк с клиентом договариваются о том, что клиент будет отправлять банку платежки, заверенные ЭЦП, а банк будет обязан проверить ЭЦП и, в случае успешногорезультата проверки, принять платежку. 2. Банк по каким-то своим техническим, религиозным или еще каким убеждениям не хочет проверять ЭЦП сам, и заключает с DVCS договор об аутсорсе проверки подписи, оговаривая разные неустойки и ответственности. Получив квиток DVC, банк вообще-то не будет обязан на его основании доверять документу. То есть он может, например сделать еще какую-то свою контрольную проверку, или отдать проверить докумет еще одному DVCS, или погадать на кофейной гуще - это уже внутреннее дело банка. При этом за то, что банк не исполнит надлежащим образом подписанное поручение, банк понесет ответственность перед клиентом в объеме, указанном в договоре с клиентом (и, возможно, в законе). Но в случае, если банк ошибочно совершит (или не совершит) некоторое действие, основывясь на информации от DVCS, он сможет отдельно взыскать убытки с DVCS, в рамках и основываясь на договоре с DCVS. Я правильно описал ситуацию? |
|
| Автор: msm, Top Cross | 24282 | 14.12.2010 23:00 |
|
Насколько я понял из красочного вашего описания в это позднее время, то всё совершенно так. Но хочу заметить DVCS рождался на основе решения двух проблем, это:
1. поиметь хоть какие доказательства что проверка ЭЦП вообще выполнялась. 2. При невозможности локально проверить подпись, ну например корейскую ЭЦП или белорусскую, кстати у них алгоритм совсем не ГОСТ , не СНГ ГОСТ и у них в ходу два хэшь алгоритма ... и много всего такого по миру. |
|
| Автор: malotavr | 24283 | 15.12.2010 00:10 |
|
> В той же Польше их аналог ФНС принимает отчётность изначально сопровождаемую DVC-квитками о действительности подписи.
Охотно верю. Такое возможно и у нас - если бы ФНС в ведомственном документе приписала бы Такскому функции валидации документов. И даже в моем примере с банком можно решить проблему свободы признания/непризнания DVC просто внеся в договор РКО нормы, связывающие получение DVC с наступлением определенных правовых последствий. Это и называется "создать правовую основу". Сейчас такой основы нет. Причем, если в административном праве каждое ведомство может просто принять ведомственный нормативный акт, наделяющий свою DVCS какими-то правами и обязанностями, то в гражданском праве прежде, чем породить какие-либо правовые последствия использования DVCS, стороны должны сперва договориться об использовании этой службы одной из сторон. Но на уровне норм законов такого механизма нет. Механизм аккредитации иностранных УЦ позволил бы обойтись в трансграничном ЭДО вообще без DVCS. И если вы предлагаете эту службу использовать в качестве альтернативы аккредитованным иностранным УЦ, использование DVCS должно иметь правовую основу на том же уровне - на уровне федерального закона.. |
|
| Автор: msm, Top Cross | 24285 | 15.12.2010 07:32 |
|
to malotavr :
1. Вы всё таки забавный собеседник. Толи вы забываете что ранее писалось, толь сознательно наровите по второму кругу разговор завернуть. Повторяю, уж и не припомню в который раз, использование DVCS на сейчас возможно ТОЛЬКО в рамках исключительно договорных отношений (согласование сторон), где каждая из сторон понимает и принимает регламент данной услуги и т.п. это и есть ваша фраза "создать правовую основу". Я совершенно не спорю что такой договор в разных ИС будет разный для Такскома один, для банка другой и т.д. 2. Вы сами себе противоречите, если в первом абзаце вы говорите что если вписав в договор нормы признания DVCS , то будет счастье, то второй абзац вы начинаете словами: "Сейчас такой основы нет" - у кого нет то ??? Заключите договор и будет такая основа. В чём тут проблема? Или вы имеете в виду что не существует в стране нормы прямого действия для поголовного использования DVCS как единственного протокола по проверке ЭЦП? Так этого и не факт что надо делать. 3. Опять вы про аккредитацию :-( вот просто подумайте, если рассматривать сертификат как е-паспорт, то иностранный аккредитованный УЦ это "паспортный стол МВД" который не управляется "МВД", а значит осуществляет не управляемую эмиссию удостоверений личности в РФ. Вы этого добиваетесь? Второе, вы к примеру знаете, что в Белорусь сертификат содержит сразу два открытых ключа? И что вы с таким сертификатом будете делать в РФ? Иностранный УЦ он на то и иностранный что живёт по иностранным законам и легитимен в иностранщине, а у нас задача не УЦ сюда тащить, а создать многодоменное пространство обращения защищенных ЭЦП ЭД. Задачи разные ! |
|
| Автор: msm, Top Cross | 24287 | 15.12.2010 09:58 |
|
to malotavr :
Ещё раз перечитал ваш пост, возможно вы предлагаете вместо двухсторонних договоров, например, банк - клиент или ФНС-Такском делать трёхсторонние ?! Где третьей стороной выступает DVCS - вы это предлагаете? А зачем так всё усложнять то? Лично мне как клиенту например банка, всё равно будет этот банк мою ЭЦП проверять или нет, если будет конфликт, то через суд докажу что это мной выработанная ЭЦП ! И для меня - как клиента банка отношения банк-DVCS ничтожны, а сам я не хочу заключать договор с DVCS, кто меня заставит? |
|
| Автор: malotavr | 24289 | 15.12.2010 11:00 |
|
Вообще-то я бы предпочел, чтобы при использовании ЭП вообще не требовалось участие какой-либо третьей стороны. Один подписал, второй проверил. Но если мы хотим, чтобы DVCS стал действительно довереной третьей стороной, необходимо установить обязанность участников ЭДО признавать DVC в качестве юридического факта и установить ответственность DVСS за ненадлежащее исполнение своих обязанностей.
Сейчас договор между одним из участников ЭДО и DVCS не имеет никакого влияния на сам ЭДО. Это "невлияние" заключается в двух моментах: 1. DVC, выданный в отношении документа, не имеет значения для участников ЭДО (строго говоря, даже для клиента DVCS) 2. DVCS не несет ответственность за свои ошибки, даже если его клиент в результате понесет убытки. По п. 1 - понятно. По п. 2 - очень сильно сомневаюсь, что убытки, которые понесет клиент, доверившись ошибочно выданому DVC, могут быть признаны следствием ошибки DVCS и стать основанием для регресса. Если интересно - потом отдельно обосную. Эти моменты не могут быть устранены договором: и участники ЭДО, и DVCS могут просто не согласиться на условия договора, накладывающие на них какие-либо обязательства. Такие обязательства обычно накладываются нормативными актами, опирающимися на нормы законов. Я вам навскидку могу назвать три примера, когда в правоотношениях двух субъектов участвует доверенная треться сторона: - УЦ, подтверждающий ЭЦП - нотариус, заверяющй документы - третейский суд, принимающий решения по коммерческим спорам Во всех трех случаях действие доверенной третьей стороны порождает обязательные правовые последствия: - подтвержденная ЭЦП признается равнозначной собственоручной подписи независимо от чьего-либо мнения на этот счет; - подлинность заверенного документа не может быть поставлена под сомнение; - решение третейского суда обязательно к исполнению сторонами и т.п. Эти правовые последствия устаовлены нормами закона и не могут быть изменены или отменены участниками правоотношений. Более того, поскольку эти последствия обязательны, эта обязательность становится связующим звеном между ошибкой ДТС и убытками, наступившими из-за того, что пострадавшая сторона получила вследствие этой ошибки определеные обязанности, исполнение которых и привело к убыткам. В случае DVCS ничего подобного нет. Поэтому, если мы хотим полноценно использовать возможности DVCS, нужны соответствующие нормы законов. |
|
| Автор: msm, Top Cross | 24291 | 15.12.2010 11:24 |
|
Вот теперь я понимаю о чём вы пишите. Но с чего вы взяли что я в предыдущих десятках постов говорил что DVCS должны верить все участники ЭДО ? Я такого не говорил, я говорил только о том что одна сторона может заключить договор c другой стороной (фирмой оказывающей услугу DVCS) на аутсорсинг услуги по проверки ЭЦП и собиранию доказательной базы, прописать в этом договоре регламент оказания услуги, и ответственность, в том числе и финансовую. Какие тут могут быть "сомнения", что не так?
Совсем другое дело , если вы хотите сделать услугу DVCS прямого действия, т.е. вторая половина вашего письма, то я не против - разрабатывайте на здоровье новый федеральный закон, я вам не помеха и даже может быть и помогу чем нибудь. Но я наверное уже в сотый раз говорю, что на сейчас существует вся правовая основа чтобы использовать DVCS на уровне бизнеса в рамке договорных отношений. Всё, ничего другого я не говорил и не утверждаю! |
|
| Автор: msm, Top Cross | 24296 | 15.12.2010 12:41 |
|
to malotavr:
Тут ещё немного порассуждал на тему вашего желания поглаболизировать и наверное в тему будет вот такая свеженькая информация: Если коротко, то DVCS технически можно объединять и соответственно объединять поддерживаемые ими домены доверия. Т.е. как в PKI когда УЦ через мост объединяют, вместо одиноких кросс-связей строится бридж, который сам потом разруливает какой запрос в какой DVCS какой страны направить. Так что если кто за глобальную нормативку прямого действия возьмётся - имейте ввиду, что есть и вот такая техническая фьюча. |
|
Просмотров темы: 9392
Copyright © 2004-2019, ООО "ГРОТЕК"
