id: Гость   вход   регистрация
текущее время 16:47 28/03/2024
Автор темы: Гость, тема открыта 07/12/2008 00:31 Печать
Категории: криптография, право, политика, эцп
https://www.pgpru.com/Форум/ПолитикаПравоРеальныйМир/ЮридическаяСилаЭлектроннойПереписки
создать
просмотр
ссылки

юридическая сила электронной переписки


Здравствуйте. хотелось бы обсудтиь указанный вопрос. Из просмотра релевантных постов сложилось понимание, что электронные сообщения, даже подписанные ЭЦП, не имеют юридической силы официальной переписки. Для придания такой силы необходимо заключения между заинтересованными сторонами специального договора.


Вопрос – какие именно вопросы должен регулировать такой договор? Может быть в сети есть образцы таких соглашений? На сколько это признается судебной практикой в РФ? Существуют ли ограничения по типам алгоритмов, применяемому ПО, процедурам создания и обмена ЭЦП?


Отдельный вопрос – подтверждение факта доставки. в обычной жизни я могу отрпавить письмо по почте с уведомлением о вручении. Правда в уведомлении не будет сказано, отправил я письмо о созыве общего собрания или пару страниц из "мужского" журнала. Или нарочным, если конечно получатель не откажется подписать копию письма.


А как обстоит дело с доказыванием вручения при электронной переписке? Существуют ли системы гарантированной доставки сообщений или как еще этот вопрос решается на практике?


Заранее благодарю.


 
Комментарии
— Гость (07/12/2008 06:23)   <#>
Существуют ли системы гарантированной доставки сообщений

Как я понимаю – нет. Это на случай принуждения участника признать получение сообщения. В военкомате для этого применяют "принудительное подписывание повестки", в случае же уклонения – могут подать в суд. В случае эл. переписки можно было бы предъявлять логи доступа к серверу, однако пользователь всегда может заявить что он "не читал" "хоть и скачал" письмо, и нет инструментов, обязывающих чего читать скачанное, и т.д. Конечно, принудительную обычную подпись можно заменить и принудительной электронной, но принуждение всё равно должно реализовываться "сторонними средствами" (это не автоматизированный процесс с помощью программ). Ну, либо, прийдётся как-то извращать всю систему и переусложнять, дабы приостанавливать функционирование сервиса для участника, если он отказывается "щёлкнуть на кнопку отвечающую за электронную подпись уведомления о получении с последующим отправлением по обратному адресу" (что-то типа такого).
PS: ни юрист, ни SATtva... а так, afaik...
— SATtva (07/12/2008 20:02)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Из просмотра релевантных постов сложилось понимание, что электронные сообщения, даже подписанные ЭЦП, не имеют юридической силы официальной переписки. Для придания такой силы необходимо заключения между заинтересованными сторонами специального договора.

Да. Либо использовать сертифицированные средства выработки ЭЦП с цифровыми сертификатами, зарегистрированными в официальном удостоверяющем центре.

Вопрос – какие именно вопросы должен регулировать такой договор?

Обычно порядок защищённого информационного обмена устанавливается не самостоятельным соглашением, а в рамках иного договора. В договоре закрепляется режим конфиденциальности и требование на передачу данных только по защищённому каналу, а также протоколы: что стороны делают в том или ином случае. Все детали — название используемого ПО, версии, алгоритмы, режимы, криптографические параметры — разумнее описать в техническом приложении к договору (легче будет изменить в случае чего).

Самое главное, без чего весь договор не имеет смысла, — это порядок разрешения разногласий. Т.е. что стороны будут делать, если, скажем, сверка ЭЦП не проходит для вновь пришедшего сообщения, что, если ЭЦП не сверяется для спорного архивного сообщения, что, если сторона отказывается от факта заверения конкретного сообщения и т.д. Этот раздел юристы и технари должны писать в самом тесном контакте.

На сколько это признается судебной практикой в РФ?

Если условия договора не противоречат законодательству и договор заключён добровольно, то какие могут быть причины для непризнания? Законодательство не устанавливает какой-то специальной формы для подобных договоров.

А как обстоит дело с доказыванием вручения при электронной переписке? Существуют ли системы гарантированной доставки сообщений или как еще этот вопрос решается на практике?

Есть почтовые системы на базе X.400, где применяется взаимное квитирование с ЭЦП. Но вне стен банков они распространения не получили.

В случае эл. переписки можно было бы предъявлять логи доступа к серверу, однако пользователь всегда может заявить что он "не читал" "хоть и скачал" письмо

Подтверждение доставки — это подтверждение доставки. Намерений получателя оно не подтверждает по определению. (Логи сервера тут вообще ни к какому месту. Вы отправили мне письмо, запись зафиксирована в логе Вашего сервера, а в логах моего ничего нет, я ничего не получал. Вот и конец разговора. В системах гарантированной доставки мой сервер возвращает вашему подписанную квитанцию о получении, а ваш моему — квитанцию о получении квитанции. В итоге оба сервера имеют по квитанции, что уже вполне себе объективное свидетельство.)
— Гость (07/12/2008 20:37)   <#>
Вроде как понятие "свобода слова" включает в себя свободу не читать? Если это так, то без специального договора не обойтись.
— _owl (08/12/2008 13:29)   <#>
Спасибо.

SATtva:
Да. Либо использовать сертифицированные средства выработки ЭЦП с цифровыми сертификатами, зарегистрированными в официальном удостоверяющем центре.

Т.е. если например договором предусмотрено, что стороны согласились использовать PGP c настройками согласно приложению №1 то эл. сообщения подписанные ПГП будут иметь силу? Даже если ПГП не сертифицирован в конкретной юрисдикции (РФ например)?

кстати, я правильно понимаю что ПГП не сертифицирован в РФ?

Есть почтовые системы на базе X.400, где применяется взаимное квитирование с ЭЦП. Но вне стен банков они распространения не получили.

отлично. не посоветуете, где можно почитать про эту х.400?

если Вам не сложно, господин SATtva, дайте пожалуйста ссылку на полезную книгу по подготовке договоров о признании электронных коммуникаций. можно кстате английскую, по их праву. там это наверное более развито.
— SATtva (08/12/2008 13:54)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Т.е. если например договором предусмотрено, что стороны согласились использовать PGP c настройками согласно приложению №1 то эл. сообщения подписанные ПГП будут иметь силу? Даже если ПГП не сертифицирован в конкретной юрисдикции (РФ например)?

Всё так.

кстати, я правильно понимаю что ПГП не сертифицирован в РФ?

Да, и вряд ли будет — ГОСТовские алгоритмы не предусмотрены в OpenPGP.

не посоветуете, где можно почитать про эту х.400?

Спросите у гугла. СКЗИ, поддерживающие X.400, выпускает у нас, в частности, МО ПНИЭИ.

если Вам не сложно, господин SATtva

У нас тут все — товарищи. :-)

дайте пожалуйста ссылку на полезную книгу по подготовке договоров о признании электронных коммуникаций.

Лучше обратитесь к практике, почитайте правовую документацию, например, платёжных систем, той же WebMoney Transfer, там всё очень подробно расписано.
— _owl (08/12/2008 20:29)   профиль/связь   <#>
комментариев: 105   документов: 20   редакций: 3
ok, я так и сделаю.
— SATtva (08/12/2008 20:41)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Кстати, нетрудно сделать механизм подтверждений и на базе обычного мэйла, бэкэндового скрипта и GnuPG. Сервер, получив письмо, должен заверить метку времени и какие-то метаданные письма и вернуть подпись отправителю, а тот, в свою очередь, должен заверить полученную квитанцию и снова переслать контрагенту. Если первый сервер не получает квитанцию в течение определённого времени, то повторяет передачу письма; также и получатель повторно отправляет квитанцию, если не получает контрквитанцию от отправителя. (Там и разные другие вещи необходимо продумать, но в принципе это реализуемо.)
— _owl (08/12/2008 22:21)   профиль/связь   <#>
комментариев: 105   документов: 20   редакций: 3
да, звучит реализуемо.

Однако сама по себе задача гарантированной доставки интуитивно кажется настолько типичной, что душа просит просто скачать откуда-нибудь надстройку для Exchange сервера и все. Странно, что ее нет.

А потом ведь возникнет вопрос юридической силы. Наверное, будет непросто отстоять позицию о том, что некий "самодельный" скрипт и протокол обмена квитанциями следует принимать как инструмент юридического доказывания. Даже при наличии подписанного соглашения. Мне кажется, как минимум, в случае судебного разберательства оппонирующая сторона легко добьется если не исключения из рассмотрения, то по крайней мере детальной технической экспертизы этого инструмента. которая очень длительна и не всегда беспрестрастна, мягко говоря.

Было бы вернее использовать какое-то стандартное, а еще лучше – сертефицированное решение.
— SATtva (08/12/2008 22:47, исправлен 08/12/2008 22:50)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Наверное, будет непросто отстоять позицию о том, что некий "самодельный" скрипт и протокол обмена квитанциями следует принимать как инструмент юридического доказывания.

Вы же с контрагентом добровольно согласились, что это так. Какая разница, из чего состоит механизм и как называется, если он действует? Для суда это вообще не играет роли и вряд ли судья знает даже техническую разницу между скриптом и программой (а с юридической её вообще нет); суд в случае спора будет рассматривать не внутренние процессы, а только внешний продукт. Если по договору стороны признаЮт, скажем, неподдельность подписей PGP, то если обе они имеют криптографически заверенными квитанциями о доставке, одной из сторон будет довольно трудно доказать, что сообщение она всё-таки не получила (или не отправляла).

Мне кажется, как минимум, в случае судебного разберательства оппонирующая сторона легко добьется если не исключения из рассмотрения, то по крайней мере детальной технической экспертизы этого инструмента. которая очень длительна и не всегда беспрестрастна, мягко говоря.

Угу, вы заказываете одну экспертизу, оппонент на неё другую, вы — третью и т.д., пока у кого-то деньги не кончатся или пока суду это не надоест. :-) Толковый договор решает большинство проблем ещё до их появления. Это мало чем в сущности отличается от написания надёжной программы.

Было бы вернее использовать какое-то стандартное, а еще лучше – сертефицированное решение.

Тогда Вам к МО ПНИЭИ.
— KastusK (12/12/2008 02:29)   <#>
Решается введением третьего "нотариального" сервера. На каждое пересланное/принятое письмо сервера отправляют туда подписанные своими ключами квитки с номером транзакции. Таким образом на одну транзакцию – 4 квитка: Передал А – Б, принял Б, прочитано на стороне Б, принято подтверждение о прочтении на А. На А и Б и у пользователей ведутся независимые логи, которые должны быть консистентны.

Периодически стороны обмениваются бумажными копиями логов с КС, подписями и печатями и их электронными копиями для сверки. Касательно нотариального сервера: можно на Лотуснотесе задизайнить базу данных для лога, указать как псевдо-пользователя со своим мылом, а потом силами админов А и Б вырубить всем и самим себе права на редактирование и администрирование. UNID базы документируется. Далее он изменен быть не может.

Далее база передаётся 3й стороне и устанавливается в далёкой стране на далёкий, но доступный по почте сервер. Её содержимое – вышеупомянутые 4 квиточка на транзакцию – скорректировать теоретически возможно, практически же крайне дорого. Я бы например оценил бы стоимость взлома корректно написанной и правильно заадминистрированной БД в сумму более 10 М денег. Если цена вопроса меньше, такую схему можно пользовать, благо и хостинга на Lotus Notes полно и программеров найти не проблема. Да и цены на него вполне гуманные.

Кстати Лотус активно юзается Газпромом и под его заказ туда даже впихнули ГОСТ и в таком виде даже кажется отсертифицировали. Давно было, в 1998 или 1999. То есть с одной стороны платформа сертифицирована и ЭЦП тогда пройдет в суде как доказательство, а с другой стороны прикладной программер может создать (и сопровождать !) на ней продукт, решающий конкретную задачу, и без участия ФАПСИ и прочих.


К сожалению такой фокус – с вырубанием прав самому себе – проходит только на увы проприетарном Лотусе. Открытых решений я не видел, правда не сильно и искал.
— Гость (28/06/2009 16:27)   <#>
Я вклинюсь. Тогда меня интересует, почему не так давно был принят закон по которому могут уведомлять о постановлениях суда (разводящихся супругов, получивших какой-либо штраф) посредством СМС(!!!) на мобильный телефон? :( Мне кажется, это просто липа и НИКАК НЕ МОЖЕТ являться официальным уведомлением. Так же я считаю, что уведомления операторов об изменении тарифов тоже не могут производиться посредством СМС (так они уходят от "навязывания услуг", когда сначала при подключении дают абоненту "пакет бесплатных услуг", а потом делая их платными якобы отсылают абонентам уведомления об этом последством СМС), сюда же относятся и банковские уведомления (я говорю об официальных, а не уведомления о списании денег с пластика). Если с недавних пор СМС-сообщения стали нести за собой юридическую силу, по-моему это безумие и большая глупость законодателей!
— SATtva (28/06/2009 17:47)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ваш вопрос не по теме (sms к ЭЦП никакого отношения не имеет), но всё-таки отвечу.

не так давно был принят закон по которому могут уведомлять о постановлениях суда (разводящихся супругов, получивших какой-либо штраф) посредством СМС(!!!) на мобильный телефон?

А я не слышал. Реквизиты закона в студию!

Мне кажется, это просто липа и НИКАК НЕ МОЖЕТ являться официальным уведомлением.

Так и есть. Доставка sms не является гарантированной.

Так же я считаю, что уведомления операторов об изменении тарифов тоже не могут производиться посредством СМС

Читайте внимательно договор, особенно всяческие примечания, написанные мелким шрифтом.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3