ПРОЕКТ ЗАКОНУ УКРАЇНИ ПРО ЕЛЕКТРОННИЙ ЦИФРОВИЙ ПІДПИС
Цей Закон регулює відносини, що пов`язані з використанням електронного цифрового підпису, і встановлює організаційно-правові засади надання послуг у сфері використання електронного цифрового підпису. РОЗДІЛ 1. ЗАГАЛЬНІ ПОЛОЖЕННЯ Стаття 1. Визначення термінів У цьому Законі терміни вживаються у такому значенні: електронний цифровий підпис (далі - цифровий підпис) – сукупність даних, отриманих за результатом певного криптографічного перетворення деякого набору даних, яка додається до цього набору даних або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача; засіб накладання та перевірки цифрового підпису (далі - засіб цифрового підпису) - програмний, програмно-апаратний або апаратний засіб, який призначений для накладання та/або перевірки цифрового підпису; відкритий ключ – параметр криптографічного алгоритму перевірки цифрового підпису, який доступний суб’єктам відносин, що виникають при використанні цифрового підпису; особистий ключ (таємний ключ) – параметр криптографічного алгоритму формування цифрового підпису, який доступний тільки підписувачу; сертифікат відкритого ключа (далі - сертифікат ключа) - електронний документ, що засвідчує чинність та належність відкритого ключа конкретній особі; компрометація особистого ключа - будь-яка подія з особистим ключем, яка призвела або може призвести до його несанкціонованого використання; блокування сертифікату ключа - тимчасове призупинення дії сертифікату ключа; підписувач - особа, яка має особистий ключ та використовує його для накладання цифрового підпису; користувач цифрового підпису (далі - користувач) - підписувач або особа, яка перевіряє цифровий підпис підписувача; послуги у сфері використання цифрового підпису (далі - послуги цифрового підпису) - надання засобів цифрового підпису, формування, розповсюдження, скасування, блокування та поновлення сертифікатів ключів, генерація відкритих та особистих ключів, послуга фіксації часу, надання інформації щодо чинних, скасованих та заблокованих сертифікатів ключів, а також консультаційні та інші послуги, пов’язані з використанням цифрового підпису; послуга фіксації часу - засвідчення дати і часу накладання на певний набір даних підписувача цифрового підпису Центру сертифікації ключів. Стаття 2. Сфера дії Закону Дія цього Закону поширюється на відносини, що виникають між юридичними і фізичними особами у зв’язку з використанням цифрового підпису. Дія цього Закону не поширюється на відносини, що виникають під час застосування інших електронних аналогів власноручного підпису, у тому числі переведеного у цифрову форму зображення власноручного підпису. Стаття 3. Законодавство про цифровий підпис Відносини, пов`язані з використанням цифрового підпису регулюються Конституцією України, Законами України «Про інформацію», «Про захист інформації в автоматизованих системах», цим Законом та іншими нормативно-правовими актами України. Стаття 4. Суб`єкти відносин у сфері використання цифрового підпису Суб`єктами правових відносин, що виникають при використанні цифрового підпису є :- підписувач;- особа, яка перевіряє цифровий підпис підписувача;- Центр сертифікації ключів;- Центральний засвідчуючий орган;- Контролюючий орган. РОЗДІЛ ІІ. ПРАВОВИЙ СТАТУС ЦИФРОВОГО ПІДПИСУ Стаття 5. Юридична сила цифрового підпису Цифровий підпис, перевірений з використанням сертифікату ключа, сформованого Центром сертифікації ключів (стаття 7 цього Закону), прирівнюється до власноручного підпису підписувача за умови виконання наступних вимог: а) цифровий підпис перевірено засобами цифрового підпису, які відповідають вимогам частин 1 і 2 статті 9 цього Закону. б) при перевірці використовувався сертифікат ключа, чинний на момент накладення цифрового підпису; в) отримано позитивний результат перевірки цифрового підпису, а саме:- під час перевірки цифрового підпису не виявлено жодних змін електронного документа, внесених у нього після накладення цифрового підпису; - встановлено відповідність особистого ключа підписувача відкритому ключу, вказаному в сертифікаті ключа; Цифровий підпис, перевірений без використання сертифікату ключа, сформованого Центром сертифікації ключів (стаття 7 цього Закону), прирівнюється до власноручного підпису підписувача за умови виконання користувачами обумовлених ними у окремому договорі процедур накладення та перевірки цифрового підпису та застосування засобів цифрового підпису, які відповідають вимогам статті 9 цього Закону. Користувач не вправі заперечувати юридичну силу цифрового підпису, якщо він ухиляється від його перевірки. У випадках, коли законодавство України вимагає скріплення документа печаткою, документ вважається скріпленим печаткою, якщо :· для юридичних осіб – він підписаний цифровим підписом юридичної особи;· для фізичних осіб (зокрема суб’єктів підприємницької діяльності) – він підписаний особистим цифровим підписом такої фізичної особи. У випадках, коли законодавство України вимагає нотаріального засвідчення справжності власноручного підпису особи, використання цифрового підпису, зазначеного в частині 1 цієї статті, не потребує такого нотаріального засвідчення. Стаття 6. Вирішення спорів Цифровий підпис може підлягати експертизі для підтвердження доказової сили електронного документа. Експертиза цифрового підпису проводиться з урахуванням вимог статті 5 цього Закону. Суд не має права не визнати юридичну силу цифрового підпису виключно на підставі того, що він має електронну форму. Вирішення спорів, що виникають при використанні цифрового підпису, у разі недосягнення згоди здійснюється у судовому порядку. РОЗДІЛ ІІІ. ПРИНЦИПИ ТА УМОВИ ВИКОРИСТАННЯ ЦИФРОВОГО ПІДПИСУ Стаття 7. Сфера використання цифрового підпису Цифровий підпис використовується для ідентифікації підписувача та/або підтвердження цілісності будь-яких електронних даних (текстових, графічних, окремих рядків та/або записів у базах даних тощо). Цифровий підпис може використовуватися фізичними та юридичними особами при укладанні, зміні, припиненні та виконанні угод, а також при здійсненні будь-яких інших юридично значимих дій, крім випадків визначених законами України. Цифровий підпис не може використовуватися для підтвердження факту волевиявлення уповноваженої особи на документах про право на спадщину та у інших випадках, передбачених законами України. Допускається використання цифрового підпису без використання сертифікатів ключів, сформованих в Центрі сертифікації ключів. У такому випадку відносини між користувачами встановлюються відповідним договором, істотними умовами якого є:- визначення криптографічного алгоритму, що буде використовуватися при накладанні та перевірці цифрового підпису;- розподіл ризиків збитків, що можуть бути заподіяні користувачам та третім особам, якщо не встановлено особу, винну у заподіянні збитків. Стаття 8. Особливості застосування цифрового підпису. Особливості застосування цифрового підпису органами державної влади та органами місцевого самоврядування визначаються Кабінетом Міністрів України. Особливості застосування цифрового підпису у банківській діяльності визначаються Національним Банком України за погодженням з органом державного управління, який реалізує державну політику в сфері криптографічного захисту інформації. Стаття 9. Засоби цифрового підпису У засобах генерації ключів та у засобах цифрового підпису повинні використовуватися криптографічні алгоритми, які є державними стандартами України або рекомендовані для використання органом державного управління, який реалізує державну політику в сфері криптографічного захисту інформації. Засоби цифрового підпису повинні мати сертифікат відповідності, або позитивний експертний висновок органу державного управління, який реалізує державну політику в сфері криптографічного захисту інформації, або бути допущені ним до експлуатації. У разі використання засобів цифрового підпису, що не відповідають вимогам частин 1 і 2 цієї статті, юридична сила цифрового підпису може визнаватися у судовому порядку. Стаття 10. Вимоги до сертифікатів ключів Сертифікат ключа повинен містити наступні обов`язкові відомості:- ознаку сертифіката ключа;- повне найменування підписувача - власника особистого ключа;- найменування криптографічного алгоритму, що використовується власником особистого ключа;- відкритий ключ;- найменування Центру сертифікації ключів;- реєстраційний номер сертифікату ключа;- дату і час початку та закінчення терміну чинності сертифікату ключа;- дані про обмеження виду та сфери застосування сертифікату ключа;- якщо необхідно, спеціальні атрибути власника підпису, залежно від цілей використання сертифікату;- цифровий підпис Центру сертифікації ключів, який засвідчує вміст сертифікату ключа. Інші дані про власника особистого ключа можуть включатися до сертифікату ключа тільки за його бажанням. Стаття 11. Права та обов’язки підписувачів Підписувач має право:- вимагати скасування, блокування або поновлення свого сертифіката ключа;- оскаржувати дії чи бездіяльність Центра сертифікації ключів у судовому порядку. Підписувач зобов’язаний:- своєчасно надавати Центру сертифікації ключів інформацію про зміни відомостей, які відображені в його сертифікаті ключа або надані при формуванні сертифікату ключа; - ретельно зберігати свій особистий ключ та виключити можливість доступу до нього інших осіб. РОЗДІЛ IV ЦЕНТРИ СЕРТИФІКАЦІЇ КЛЮЧІВ Стаття 12. Правовий статус центрів сертифікації ключів Центр сертифікації ключів - фізична особа-суб’єкт підприємницької діяльності або юридична особа будь-якої форми власності, що отримала повноваження надавати послуги цифрового підпису. Стаття 13. Порядок отримання статусу Центру сертифікації ключів Діяльність, яка пов’язана з організацією та функціонуванням центрів сертифікації ключів, віднесена до діяльності у сфері криптографічного захисту інформації. Центр сертифікації ключів до початку надання послуг цифрового підпису повинен отримати сертифікат ключа від Центрального засвідчуючого органа або від Центра сертифікації ключів, якому делеговані такі повноваження. Процедура отримання сертифіката та вимоги до заявників визначаються органом державного управління, який реалізує державну політику у сфері криптографічного захисту інформації. Стаття 14. Права та обов`язки центрів сертифікації ключів Центр сертифікації ключів має право :- одержувати необхідну для реєстрації підписувача та формування сертифіката ключа інформацію безпосередньо у її власника або у його представника . Для потреб, не пов’язаних з формуванням сертифікату ключа, ця інформація може бути використана лише у випадках передбачених законодавством України;- перевіряти відомості, надані для реєстрації підписувача та формування сертифікату ключа; Центр сертифікації ключів зобов’язаний:- узгодити з Центральним засвідчуючим органом необхідні нормативні документи; - використовувати для послуг цифрового підпису засоби цифрового підпису, які відповідають вимогам частин 1 і 2 статті 9 цього Закону;- надавати консультації особам, які звертаються за сертифікатом ключа з питань забезпечення безпеки засобів цифрового підпису, а також інформувати їх про засоби цифрового підпису які мають сертифікат відповідності, позитивний експертний висновок або допущені до експлуатації органом державного управління, який реалізує державну політику в сфері криптографічного захисту інформації;- встановлювати належність конкретного відкритого ключа та відповідного йому особистого ключа конкретному підписувачу;вживати заходів безпеки під час сертифікації ключів та зберігання сертифікатів ключів;- забезпечувати швидке і надійне надання послуг по скасуванню, блокуванню та поновленню сертифікатів ключів;- скасовувати, блокувати або поновлювати сертифікат ключа у випадках, передбачених цим Законом;- своєчасно повідомляти Центральний засвідчуючий орган про всі обставини, які перешкоджають діяльності Центра сертифікації ключів; - забезпечувати зберігання сертифікатів ключів протягом передбаченого законодавством України терміну зберігання електронних документів, що були підписані відповідним цифровим підписом;- забезпечувати доступ користувачам до сертифікатів ключів по загальнодоступним телекомунікаційним каналам; Зберігання особистих ключів підписувачів та ознайомлення з ними в Центрі сертифікації ключів не допускається. Центр сертифікації ключів повинен гарантувати кожній особі, яка використовує сформований ним сертифікат ключа, що:- всі дані в сертифікаті ключа відповідають даним, наданим центру сертифікації ключів підписувачем чи його представником на момент формування сертифіката ключа;- вказаний в сертифікаті ключа підписувач на момент формування сертифікату ключа мав той особистий ключ, що відповідає відкритому ключу, вказаному у сертифікаті ключа; Стаття 15. Послуга фіксації часу Послуга фіксації часу може надаватися Центром сертифікації ключів у порядку та у відповідності з вимогами, які визначаються Центральним засвідчуючим органом. Центр сертифікації ключів повинен гарантувати достовірність даних про дату та час накладання на певний набір даних підписувача цифрового підпису Центру сертифікації ключів. Стаття 16. Порядок реєстрації підписувачів, формування, надання та розповсюдження сертифікатів ключів Реєстрація підписувачів, формування та надання їм сертифікату ключа в Центрі сертифікації ключів, а також інші послуги цифрового підпису здійснюється на договірних засадах. Перелік обов’язкових відомостей про особу, які надаються для реєстрації та формування сертифікату, визначається Центральним засвідчуючим органом або Центром сертифікації ключів, якому делеговані такі повноваження. Сертифікати ключів можуть розповсюджуватися у формі електронних документів чи їх паперових копій. Стаття 17. Порядок скасування та блокування сертифікатів ключів Центр сертифікації ключів повинен негайно скасувати сформований ним сертифікат ключа у таких випадках:- на вимогу власника відкритого ключа або його представника;- у випадку смерті фізичної особи - власника відкритого ключа або оголошення його померлим за рішенням суду;- у випадку припинення діяльності юридичної особи – власника відкритого ключа;- у випадку визнання власника відкритого ключа недієздатним за рішенням суду; - у випадку виявлення в сертифікаті ключа або в реєстраційних даних власника відкритого ключа недостовірних відомостей;- при отриманні відомостей про компрометацію особистого ключа; Центральний засвідчуючий орган або Центр сертифікації ключів, якому делеговані такі повноваження негайно скасовує сформований ним сертифікат ключа Центру сертифікації ключів в таких випадках:- у випадку припинення надання послуг Центром сертифікації ключів;- у випадку заборони діяльності Центру сертифікації ключів;- при отриманні відомостей про компрометацію особистого ключа Центру сертифікації ключів. Якщо зазначені обставини не можуть бути встановлені однозначно, сертифікат ключа повинен бути блокований. Процедури блокування та скасування сертифікатів ключів повинні містити позначку часу, з якого вони набувають чинності. Блокування та скасування сертифікату ключа набуває чинності з часу внесення необхідної інформації до відповідного реєстру. Підписувач повинен бути своєчасно повідомлений про скасування або блокування його сертифікату ключа особою, яка здійснила таке скасування або блокування. Центральний засвідчуючий орган або Центр сертифікації ключів, який скасував чи блокував сертифікат ключа, повинен вести загальнодоступний електронний реєстр скасованих та блокованих сертифікатів ключів. Загальний порядок блокування та скасування сертифікатів ключів визначається Центральним засвідчуючим органом або Центром сертифікації ключів, якому делеговані такі повноваження. Блокований сертифікат ключа поновлюється за заявою власника ключа, його представника або за рішенням суду у випадку, якщо інформація про обставини, перелічені в частинах 1 і 2 цієї статті, виявилася недостовірною або якщо дія вказаних обставин припинилася. Стаття 18. Припинення діяльності центрів сертифікації ключів Центр сертифікації ключів припиняє свою діяльність у випадках, передбачених законодавством України. Центр сертифікації ключів повинен не пізніше, ніж за три місяці, повідомити про припинення надання послуг цифрового підпису Центральний засвідчуючий орган або Центр сертифікації ключів, якому делеговані такі повноваження, а також не пізніше, ніж за два місяці, - підписувачів, яким видані сертифікати ключів, якщо інші терміни не визначені законодавством України. На день припинення діяльності Центр сертифікації ключів повинен скасувати чинні сертифікати ключів та забезпечити передачу реєстру сертифікатів ключів та службової документації, що стосується його діяльності, іншому Центру сертифікації ключів за його згодою, а у разі відсутності такої згоди - Центральному засвідчуючому органу. Порядок передачі реєстру сертифікатів ключів та службової документації, що стосується його діяльності, визначається Центральним засвідчуючим органом. Стаття 19. Оплата послуг цифрового підпису Оплата послуг цифрового підпису здійснюється на договірних засадах. Порядок та розміри оплати послуг цифрового підпису для органів державної влади та органів місцевого самоврядування встановлюються Кабінетом Міністрів України. РОЗДІЛ V . ЦЕНТРАЛЬНИЙ ЗАСВІДЧУЮЧИЙ ОРГАН Стаття 20. Правовий статус Центрального засвідчуючого органу Центральний засвідчуючий орган є спеціалізованим підприємством, що визначається органом державного управління, який реалізує державну політику у сфері криптографічного захисту інформації. Стаття 21. Права та обов`язки Центрального засвідчуючого органу Центральний засвідчуючий орган в окремих випадках може делегувати свої повноваження (крім права подальшого делегування повноважень) Центру сертифікації ключів. Центральний засвідчуючий орган, зобов’язаний: - формувати сертифікати ключів Центрів сертифікації ключів;- вести реєстри сертифікатів ключів Центрів сертифікації ключів;- забезпечувати блокування або скасування сертифікату ключа Центру сертифікації ключів у випадках, передбачених цим Законом;- забезпечувати збереження сертифікатів ключів та відповідних ним засобів цифрового підпису;- надавати консультативно-методичну допомогу Центрам сертифікації ключів. РОЗДІЛ VI. КОНТРОЛЮЮЧИЙ ОРГАН Стаття 22. Правовий статус Контролюючого органу Контролюючим органом є орган державного управління, який реалізує державну політику у сфері криптографічного захисту інформації. Стаття 23. Права та обов’язки Контролюючого органу Контролюючий орган визначає та затверджує загальні вимоги щодо забезпечення безпеки в сфері використання цифрового підпису . Контролюючий орган має право перевіряти дотримання Центральним засвідчуючим органом та Центрами сертифікації ключів вимог цього Закону та інших нормативно-правових актів в сфері використання цифрового підпису. У випадку виявлення порушень Центром сертифікації ключів вимог цього Закону Контролюючий орган вправі видати розпорядження Центральному засвідчуючому органу про скасування або блокування сертифіката ключа Центру сертифікації ключів. РОЗДІЛ VII ВІДПОВІДАЛЬНІСТЬ У СФЕРІ ВИКОРИСТАННЯ ЦИФРОВОГО ПІДПИСУ Стаття 24. Відповідальність Центрів сертифікації ключів Центр сертифікації ключів несе відповідальність перед користувачами та третіми особами за порушення вимог цього Закону згідно із законодавством України. Стаття 25. Відповідальність підписувача Підписувач згідно з законодавством несе відповідальність за шкоду, заподіяну іншим особам внаслідок неналежного зберігання та використання особистого ключа. РОЗДІЛ VIIІ. ВИЗНАННЯ ІНОЗЕМНИХ СЕРТИФІКАТІВ КЛЮЧІВ. ДІЯ МІЖНАРОДНИХ ДОГОВОРІВ Стаття 26. Визнання іноземних сертифікатів ключів Взаємне визнання сертифікатів ключів, виданих центрами сертифікації ключів, розташованими в Україні та за кордоном здійснюється у відповідності з міжнародними договорами за участю України. Стаття 27. Дія міжнародних договорів У разі, якщо міжнародним договором за участю України визначено інші правила, ніж передбачені цим Законом, застосовуються норми міжнародного договору. РОЗДІЛ IХ. ПРИКІНЦЕВІ ПОЛОЖЕННЯ 1. Цей Закон набуває чинності через шість місяців з дня його опублікування. 2. Кабінету Міністрів України у тримісячний термін :- прийняти нормативно-правові акти, передбачені цим Законом;- привести свої нормативно-правові акти у відповідність вимогам цього Закону;- забезпечити скасування нормативно-правових актів Кабінету Міністрів, міністерств та відомств в частині, що суперечить вимогам цього Закону. 3. Національному Банку України у тримісячний термін :- прийняти нормативно-правові акти, передбачені цим Законом;- привести свої нормативно-правові акти у відповідність вимогам цього Закону. 4. Органу державного управління, який реалізує державну політику у сфері криптографічного захисту інформації, у тримісячний термін:- визначити підприємство, на яке буде покладено функції Центрального засвідчуючого органу;- прийняти нормативно-правові акти, передбачені цим Законом.
