Окончательный вариант, 13 июня 1997 г.
Комментарий: Christopher Kuner, Esq. Morrison & Foerster LLP, Brussels
Комментарий: Это перевод окончательного варианта Закона о цифровой подписи (Статья 3 "Закона о мультимедиа"), одобренного немецким парламентом (Бундестагом) 13 июня 1997 г.
Совершенно очевидно, что настоящий Закон вступит в силу без дальнейших изменений; на момент написания данного предисловия не вполне определенным оставался лишь вопрос, потребует ли контролируемый оппозиционными партиями Федеральный Совет (Бундесрат) созыва Консультативного Комитета (Vermittlungsausschuss), что привело бы к откладыванию вступления его в силу по меньшей мере до 1 ноября; в противном случае, закон должен вступить в силу 1 августа 1997 г.
Окончательный вариант Закона о цифровой подписи лишь незначительно отличается от того варианта, который был представлен в Бундестаге 20 декабря 1996 г. (изменения выделены жирным шрифтом); вероятно, наиболее важным изменением является помещенное в пункте 2 § 12 новое ограничение на право органов уголовного судопроизводства и разведки получать доступ к сведениям о личности владельцев псевдонимов. Несмотря на оживленные споры, в конечном счете было решено не включать в текст положение, касающееся ответственности.
Закон о цифровой подписи имеет технический характер, поскольку он не затрагивает вопроса юридической силы цифровых подписей. Цель Закона заключается в обеспечении условий для надежной инфраструктуры использования цифровых подписей в Германии.
Хотя соблюдение данного Закона является "добровольным", немецкое правительство открыто заявляет о своем намерении создать фактический стандарт использования цифровых подписей; по этой причине важно отметить, что Федеральное бюро по информационной безопасности (BSI) — государственное учреждение, аналогичное по своим задачам американскому Управлению национальной безопасности (NSA) — глубоко вовлечено в разработку технических стандартов в соответствии с настоящим законом. Таким образом, есть основания сомневаться, что Закон приведет к конкурентно-рыночной процедуре обращения цифровых подписей в Германии.
Следует обратить внимание читателей на то, что много важных деталей, касающихся использования цифровых подписей в Германии, будет содержаться в рассматриваемом сейчас Постановлении о цифровой подписи и каталогах безопасности технических компонентов и органов сертификации. Кроме того, Федеральное министерство юстиции в настоящее время работает над дальнейшим законодательством, касающимся юридической силы и действительности цифровых подписей.
Информационные обязательства согласно Директивы Совета 83/189/EWG от 28 марта 1983 г. об информационных процедурах в области нормативов и технических правил (ABl. EG No. L 109, p. 8), измененной в последний раз Директивой Европейского Парламента и Совета 94/10/EG от 23 марта 1994 г. (ABl. EG No. L 100, p. 30), были при этом соблюдены.
§ 1 Цель и область применения
1. Цель настоящего закона заключается в создании общих условий для цифровых подписей, при которых они были бы признаны надежными и можно было бы достоверно выявлять случаи подделок цифровых подписей или фальсификации подписанных данных.
2. Допускается применение других процедур для цифровых подписей в тех случаях, когда цифровые подписи не являются юридически обязательными согласно данному закону.
§ 2 Определения
1. Под "цифровой подписью" в смысле данного закона понимается созданная с помощью закрытого ключа подписи печать к цифровым данным, которая, при использовании соответствующего открытого ключа, снабженного сертификатом ключа подписи, выданным сертифицирующим центром или уполномоченным государственным органом в соответствии с § 3, позволяет установить владельца ключа подписи и целостность и неизменность данных.
2. Под "сертифицирующим центром" в смысле данного закона понимается физическое или юридическое лицо, которое удостоверяет принадлежность открытых ключей подписи конкретным физическим лицам и имеет на это лицензию в соответствии с § 4 настоящего Закона.
3. Под "сертификатом" в смысле данного закона понимается снабженное цифровой подписью свидетельство о принадлежности открытого ключа подписи конкретному физическому лицу (сертификат ключа подписи), либо особое цифровое свидетельство, которое безошибочно указывает на сертификат ключа подписи и содержит дополнительную информацию (атрибутивный сертификат).
4. Под "отметкой времени" в смысле данного закона понимается выданное сертифицирующим центром и снабженное цифровой подписью цифровое свидетельство о том, что определенные цифровые данные были ему представлены в определенный момент времени.
§ 3 Уполномоченный государственный орган
Выдача лицензий сертифицирующим центрам и выдача сертификатов, используемых для подписания других сертификатов, а также надзор за соблюдением положений настоящего закона и Постановления о цифровых подписях, в соответствии с § 16 настоящего Закона относится к компетенции уполномоченного государственного органа, указанного в § 66 Закона о телекоммуникациях.
§ 4 Выдача лицензий сертифицирующим центрам
1. Для деятельности сертифицирующего центра ему необходима лицензия от уполномоченного государственного органа, которая выдается на основании поданной заявки.
2. В выдаче лицензии может быть отказано, если имеются веские основания предполагать, что заявитель не обладает необходимой надежностью для деятельности в качестве сертифицирующего центра, если податель заявки не демонстрирует необходимого для указанной деятельности уровня технической квалификации, или если можно ожидать, что после начала деятельности им не будут выполнены дальнейшие требования к деятельности сертифицирующего центра, устанавливаемые настоящим Законом и Постановлением согласно § 16.
3. Заявитель обладает необходимой надежностью, если он может гарантировать соблюдение им в качестве обладателя лицензии соответствующих юридических требований к деятельности сертифицирующего центра. Уровень технической квалификация считается необходимым, если работающие в сертифицирующем центре лица имеют надлежащие знания, опыт и квалификацию. Дальнейшие требования к деятельности сертифицирующего центра считаются выполненными, если о мерах по исполнению требований безопасности настоящего закона и Постановления согласно § 16 сразу же уведомляется уполномоченный государственный орган в плане безопасности, осуществление которого было проверено и удостоверено инстанцией, признанной уполномоченным государственным органом.
4. В лицензии могут содержаться дополнительные положения, необходимые для обеспечения того, что сертифицирующий центр исполняет требования настоящего закона и Постановления согласно § 16 после начала и во время своей деятельности.
5. Уполномоченный государственный орган выдает сертификаты для ключей подписи, которые используются для подписания сертификатов. Положения о выдаче сертификатов сертифицирующими центрами действуют также в отношении уполномоченного государственного органа, который обязан обеспечить, чтобы по общедоступным телекоммуникационным каналам любое лицо в любое время имело возможность проверить любой из выданных данным органом сертификатов.
6. Данное требование касается также информации об адресах и телефонных номерах сертифицирующих центров, данных о блокировании выданных им сертификатов ключей подписи, прекращении и запрещении деятельности какого-либо сертифицирующего центра, а также о прекращении или отзыве лицензий. За осуществление общественных функций взимается соответствующая плата (сборы и расходы) согласно настоящему закону и § 16 Постановления.
§ 5 Выдача сертификатов
1. Сертифицирующий центр обязан установить личность лица, подавшего заявку на получение сертификата. Он должен подтвердить принадлежность открытого ключа подписи идентифицируемому лицу посредством сертификата ключа подписи и обязан обеспечить, чтобы по общедоступным телекоммуникационным каналам любое лицо в любое время имело возможность проверить выданные им сертификаты ключа подписи и атрибутивные сертификаты с согласия владельца ключа подписи.
2. По требованию заявителя на получение сертификата, сертифицирующий центр обязан внести в сертификат ключа подписи или в атрибутивный сертификат данные о полномочиях этого лица представлять третье лицо и о наличии профессиональных или иных разрешений, если ему достоверно продемонстрировано волеизъявление третьего лица на внесение в сертификат информации об указанных представительских полномочиях.
3. По требованию заявителя на получение сертификата сертифицирующий центр обязан внести в сертификат вместо имени заявителя его псевдоним.
4. Сертифицирующий центр обязан принимать меры, направленные на то, чтобы нельзя было незамеченным образом подделать или фальсифицировать данные сертификатов. Он также должен принимать меры по обеспечению конфиденциальности закрытых ключей подписи. Хранение закрытых ключей подписи сертифицирующим центром запрещено.
5. Сертифицирующий центр должен использовать в своей деятельности только надежный персонал, а также в соответствии с § 14 применять технические компоненты, позволяющие обеспечить доступность ключей подписи и создание сертификатов. Это также относится к техническим компонентам, которые позволяют обеспечить проверку сертификатов согласно предложению 2 пункта 1.
§ 6 Обязанность проведения обучения
Сертифицирующий центр обязан согласно пункту 1 § 5 обучить заявителя необходимым мерам по обеспечению безопасности цифровых подписей и их достоверной верификации. Он должен сообщить подателю заявки о том, какие из технических компонентов соответствуют требованиям пунктов 1 и 2 § 14 , а также объяснить ему вопросы определения принадлежности цифровых подписей, созданных с помощью закрытого ключа подписи. Он должен обратить внимание заявителя на то, что может возникнуть необходимость заново подписать данные с цифровой подписью, поскольку значение безопасности доступной подписи уменьшается со временем.
§ 7 Содержание сертификатов
1. Сертификат ключа подписи должен содержать по меньшей мере следующие данные:
- имя владельца ключа подписи, к которому в случае возможности возникновения путаницы должна быть присоединена дополнительная запись, либо принадлежащий владельцу ключа подписи явный псевдоним, с указанием на то, что он является псевдонимом;
- соответствующий открытый ключ подписи;
- обозначение алгоритмов, с которыми могут использоваться открытый ключ владельца ключа подписи и открытый ключ сертифицирующего центра;
- номер сертификата;
- начало и окончание срока действия сертификата;
- наименование сертифицирующего центра;
- сведения о том, является ли использование ключа подписи ограниченным для применения в определенных видах и областях приложений.
2. Сведения о полномочиях представлять третье лицо или о наличии определенных профессиональных и иных разрешений указываться как в самом сертификате ключа подписи, так и в атрибутивном сертификате.
3. Дополнительные сведения могут вноситься в сертификат ключа подписи только в том случае, если на это даст согласие лицо, к которому относятся эти сведения.
§ 8 Блокирование сертификатов
Сертифицирующий центр должен блокировать сертификат, если этого требует владелец ключа подписи или его представитель, если сертификат был выдан на основе ложных сведений согласно § 7, если сертифицирующий центр прекращает свою деятельность и эта деятельность не будет продолжена другим сертифицирующим центром, либо если блокирования сертификата требует уполномоченный государственный орган согласно предложения 2 пункта 5 § 13. При этом должен быть указан определенный момент времени, начиная с которого блокирование вступает в силу. Не допускается блокирование сертификата задним числом.
Если сертификат содержит сведения о третьем лице, то это лицо также может потребовать заблокировать такой сертификат.
Уполномоченный государственный орган должен заблокировать выданные им сертификаты в соответствии с пунктом 5 § 4, если сертифицирующий центр прекращает свою деятельность или в случае прекращения или отзыва или его лицензии.
§ 9 Отметки времени
По требованию клиента сертифицирующий центр обязан снабдить цифровые данные отметкой времени. При этом применяются предложения 1 и 2 пункта 5 Раздела 5.
§ 10 Документирование
Сертифицирующий центр обязан документировать меры по обеспечению безопасности, принимаемые им во исполнение настоящего закона и Постановления согласно § 16, а также регистрировать все выдаваемые им сертификаты, с тем чтобы в любое время можно было проверить целостность и неизменность конкретных данных.
§ 11 Прекращение деятельности
При прекращении своей деятельности сертифицирующий центр обязан как можно скорее уведомить об этом уполномоченный государственный орган, а также обеспечить передачу действительных на момент прекращения его деятельности сертификатов другому сертифицирующему центру или приостановку их действия.
В соответствии с § 10 он должен передать свою документацию тому сертифицирующему центру, которому будут переданы его сертификаты, или же уполномоченному государственному органу.
Он должен немедленно уведомить уполномоченный государственный орган о любых заявлениях о начале процедуры банкротства или урегулирования спорных вопросов.
§ 12 Защита данных
1. Сертифицирующий центр может собирать персональную информацию только непосредственно от самих заинтересованных лиц, и только в той степени, в какой это необходимо для целей сертификата. Сбор сведений от третьих лиц разрешается только в том случае, если на это даст согласие то лицо, которого касаются эти сведения. Для целей, отличных от указанных в предложении 1, данные могут быть использованы только если это предусмотрено законом или другим юридическим документом, либо с согласия лица, к которому они относятся.
2. В случае использования владельцем ключа подписи псевдонима, сертифицирующий центр должен выдать информацию о его личности по требованию соответствующих органов, если это необходимо для расследования уголовных преступлений или проступков, защиты общественной безопасности и порядка, либо для исполнения правовых обязанностей органов конституционной защиты федерального правительства и федеральных земель, федеральной службы безопасности, военной разведки или органов таможни. Выдача таких сведений должна документироваться.
3. Запрашивающие информацию органы должны сообщить владельцу ключа подписи о раскрытии его псевдонима, когда это не будет уже предоставлять угрозы для осуществления ими своих установленных законом задач, или если важность для владельца ключа подписи сведений о таком раскрытии перевешивает все иные соображения. Раздел 38 Федерального закона о защите данных применяется с оговоркой, что проверка может быть проведена, даже если нет оснований для нарушения положений о защите данных.
§ 13 Контроль и осуществление обязательств
1. Уполномоченный государственный орган может осуществлять в отношении сертифицирующих центров шаги, направленные на обеспечение соблюдения настоящего закона и Постановления. Он может, в частности, запретить использование ненадлежащих технических компонентов и временно запретить осуществление лицензионной деятельности полностью или частично. Лицам, которые создают неверное впечатление о наличии у них лицензии, в соответствии с § 4 может быть запрещено проводить сертификацию.
2. Сертификационные центры обязаны разрешить служащим уполномоченного государственного органа входить в свои административные и рабочие помещения в обычные рабочие часы с целью надзора в соответствии с предложением 1 пункта 1. Они должны предоставлять по их требованию все соответствующие книги, рисунки, квитанции, документы и иные записи для ревизии, а также предоставлять им всю необходимую информацию и содействие.
3. Лицо, обязанное предоставить информацию, может отказаться от ее предоставления, если это касается вопросов, ответ на которые может подвергнуть его или одного из членов его семьи, упомянутых в №1-3 пункта 1 § 383 Гражданско-процессуального кодекса, опасности уголовного преследования. Лицо, от которого требуют предоставить информацию, должно быть проинформировано об этом своем праве.
4. В случае несоблюдения обязанностей, вытекающих из настоящего Закона или Постановления, либо при возникновении основания для отзыва лицензии, уполномоченный государственный орган аннулирует такую лицензию, если указанные в предложении 2 пункта 1 меры не способны, по всей видимости, разрешить проблему.
5. В случае прекращения или отзыва лицензии, либо прекращения деятельности сертифицирующего центра, уполномоченный государственный орган должен обеспечить передачу его полномочий другому сертифицирующему центру или заключение контрактов с владельцами ключей подписи. Это также относится к заявлениям о начале процедур банкротства или урегулирования спорных вопросов, если не происходит продолжения лицензированной деятельности.
6. Прекращение или отзыв лицензии у сертифицирующего центра не влияет на юридическую силу выданных им сертификатов. Уполномоченный государственный орган может потребовать заблокировать сертификаты, если факты подтверждают предположение о том, что сертификаты были подделаны или они не достаточно защищены от подделки, или что технические компоненты, использованные при применении ключей подписи, содержат дефекты в области безопасности, позволяющие оставаться незамеченными случаям подделки цифровых подписей или фальсификации подписанных данных.
§ 14 Технические компоненты
1. Во время создания и хранения ключей подписи, а также при создании и проверке цифровых подписей должны использоваться технические компоненты, имеющие особые свойства по обеспечению безопасности, которые гарантируют надежность обнаружения случаев подделки цифровых подписей и фальсификации подписанных данных и защиту от несанкционированного использования закрытых ключей подписи.
2. Для представления подлежащих подписанию данных должны применяться технические компоненты, имеющие особые свойства по обеспечению безопасности, которые безошибочно и заранее показывают создание цифровой подписи и позволяют устанавливать данные, к которым относится цифровая подпись. Для проверки подписанных данных должны применяться технические компоненты, имеющие особые свойства по обеспечению безопасности, которые позволяют устанавливать неизменность подписанных данных, к каким данным относится цифровая подпись, и какому владельцу ключа подписи принадлежит цифровая подпись.
3. В отношении технических компонентов, с помощью которых обеспечивается постоянный публичный доступ к сертификатам ключа подписи в соответствии с предложением 2 пункта 1 § 5, должны быть приняты меры по защите сертификационных регистров от несанкционированного изменения и доступа.
4. Что касается технических компонентов, о которых идет речь в пунктах 1-3, они должны подвергнуться серьезной экспертизе на должном техническом уровне, и их соответствие имеющимся требованиям должно быть удостоверено инстанцией, признанной уполномоченным государственным органом.
5. Можно представить ситуацию, когда требования технической безопасности пунктов 1-3 соблюдены в том, что касается технических компонентов, выпускаемых или производимых на законных основаниях в соответствии с правилами и нормами другого государства-члена Европейского Союза или государства-участника Соглашения о Европейском экономическом пространстве, гарантирующими такой же уровень безопасности. В отдельных случаях и при наличии достаточного основания, уполномоченный государственный орган может потребовать демонстрации соблюдения требований пункта 1.
Поскольку для демонстрации соответствия требованиям технической безопасности в смысле пунктов 1-3 необходимо представить подтверждение инстанции, признанной уполномоченным государственным органом, то должны быть рассмотрены подтверждения со стороны инстанций, лицензированных в других государствах-членах Европейского Союза или государствах-участниках Соглашения о Европейском экономическом пространстве, если технические требования, экспертизы и процедуры проведения экспертиз, на которых основываются отчеты этих инстанций, эквивалентны тем, которые используются инстанциями, признанными уполномоченным государственным органом.
§ 15 Иностранные сертификаты
1. Цифровые подписи, которые могут быть проверены с помощью открытого ключа подписи, удостоверенного иностранным сертификатом, выданным в одном из государств-членов Европейского Союза, либо в одном из государств-участников Соглашения о Европейском экономическом пространстве, приравниваются к цифровым подписям, рассматриваемым в настоящем законе, при условии что они обеспечивают такой же уровень безопасности.
2. Пункт 1 действует также в отношении других государств, если с ними заключены соответствующие наднациональные или международные договоры о признании сертификатов.
Федеральное правительство уполномочено обнародовать посредством Постановления положения, необходимые для осуществления §§ 3-15, в отношении:§ 16 Постановление
1. Дальнейших деталей процедур выдачи, прекращения и отзыва лицензий, а также процедур прекращения деятельности сертифицирующего центра;
2. Обстоятельств, приводящих к повышению платы согласно пункта 6 § 4, и размера этой платы;
3. Последующего структурирования обязанностей сертифицирующих центров;
4. Срока действия сертификатов ключей подписи;
5. Дальнейшего структурирования контроля над сертифицирующими центрами;
6. Дальнейших требований к техническим компонентам, а также экспертизы технических компонентов и подтверждения их соответствия всем требованиям;
7. Промежутка времени, после которого должна использоваться новая цифровая подпись, а также связанных с этим процедур.