Громадське слухання проекту Закону „Про електронну торгівлю”
07/02/2003 | Serhiy Hrysch
ТЕКСТ ПРОЕКТУ
ПРОЕКТ
Вноситься народними депутатами України
Закон України „Про електронну торгівлю”
РОЗДІЛ 1. ЗАГАЛЬНІ ПОЛОЖЕННЯ
Стаття 1. Мета цього закону
1.Метою цього закону є забезпечення правових умов для електронної торгівлі: закріплення прав і обов'язків осіб, що здійснюють електронну торгівлю, визначення правил виконання угод з використанням електронних документів, а також визнання електронних документів як судових доказів.
2. Політикою Держави в галузі електронної торгівлі є:
(1) забезпечення розвитку електронної торгівлі, взаємодіючих комп'ютерних служб і засобів аудіовізуальної інформації;
(2) підтримання конкурентного і вільного ринку;
(3) заохочення розвитку технологій, які підвищують контроль користувача за електронними операціями та їх безпекою;
(4) забезпечення економічного і соціального прогресу, стимулювання інвестицій в інноваційні технології;
(5) гарантування виконання правових заходів щодо попередження та покарання за будь-яке шахрайство чи зловживання в галузі електронної торгівлі та електронного грошового обігу.
Стаття 2 . Відносини, врегульовані цим законом
1. Цей закон регулює відносини, що виникають між особами, що здійснюють підприємницьку діяльність, або з їхньою участю при виконанні угод і інших юридичних дій з використанням електронних документів.
2. Зміст окремих видів зобов'язань, що виникають з підстав, передбачених п. 1 даної Статті, і порядок їхнього виконання регулюється цивільним законодавством.
Стаття 3. Визначення
У цьому Законі терміни вживаються у такому значенні:
аутентичність об’єкта/особи - підтвердження дійсності, достовірності, ототожнення об’єкта/особи (саме той, за кого себе видає);
аутентичність даних – підтвердження дійсності, достовірності (перевірка цілісності) даних, тобто що дані не були змінені чи замінені;
акредитація - отримання дозволу центром сертифікації ключів, на провадження діяльності, пов'язаної з обслуговуванням сертифікатів ключів;
блокування сертифіката ключа - тимчасове зупинення чинності сертифіката ключа;
власник ключа підпису - фізична чи юридична особа, що володіє ключем підпису, якому відповідає ключ перевірки підпису, належність якого цій особі засвідчена відповідним сертифікатом ключа;
випробувальний орган – державний орган, уповноважений центральним органом виконавчої влади для організації та проведення випробувань засобів електронного підпису на відповідність національним чи міжнародним стандартам з метою надання сертифікату відповідності (якості);
дані для перевірки підпису (далі - ключ перевірки підпису) - дані, такі як коди чи криптографічні ключі, які використовуються з метою перевірки електронного підпису;
дані, що створюють підпис (далі - ключ підпису, або ключ створення підпису) - означає виняткові дані, такі як коди чи криптографічні ключі, які використовуються підписувачем для створення електронного підпису;
інформаційна система - сукупність програмних або програмно-апаратних засобів, методів і процедур, що застосовуються для створення, відправлення, передавання, одержання, зберігання, оброблення, використання, знищення, перевірки цілісності або іншої обробки електронних документів;
електронні дані - дані, які формуються, оброблюються, зберігаються, відправляються та отримуються за допомогою електронних засобів;
електронний документ - документ, інформація, в якому представлена у формі електронних даних, включаючи обов’язкові реквізити документа, у тому числі й електронний підпис, та яка може бути сформована, передана, оброблена, збережена на матеріальному носії і перетворена/відновлена у візуальну форму подання. Візуальною формою подання електронного документа є відображення даних, які він містить, електронними засобами або на папері у формі, придатній для сприймання його змісту людиною;
електронні засоби – будь-які програмно-апаратні засоби, що використовуються в інформаційній системі;
електронна інформація означає дані, текст, коди, комп’ютерну програму, програмне забезпечення, бази даних, або подібне;
електронне повідомлення – документ, який не має обов’язкових реквізитів і інформація в якому представлена у формі електронних даних та має характер інформування про будь-яку подію;
електронний технічний запис означає відображення даних електронних засобів (зокрема, комп’ютера) щодо стану чи перебігу подій, і цей запис створений самостійно технічним пристрієм цілком чи в будь-якій частині;
електронний підпис - дані в електронній формі, які додаються до інших даних або логічно з ними пов'язані і використовуються для встановлення аутентичності даних, з якими вони пов’язані або і до яких відносяться, та аутентичності підписувача;
електронний підпис посилений (посилений електронний підпис) – вид електронного підпису, який додатково відповідає таким вимогам:
(а) він пов’язаний винятково з підписувачем;
(б) підписувач може тримати під своїм повним контролем засіб створення підпису;
електронний підпис кваліфікований (кваліфікований електронний підпис) – вид посиленого електронного підпису, який створений:
(a) з використанням особистого ключа, який має посилений сертифікат ключа; і
(б) за допомогою надійного засобу створення підпису;
електронна торгівля - укладання шляхом обміну електронними документами будь-яких цивільно-правових угод, а також придбання і здійснення з використанням електронних засобів інших прав і обов'язків у сфері підприємницької діяльності;
електронний торговець – юридична або фізична особа, яка є суб’єктом підприємницької діяльності, що здійснює з використанням електронних документів укладання та виконання будь-яких цивільно-правових угод;
засвідчувальний орган – акредитований центр сертифікації ключів, який додатково формує сертифікати ключів для інших постачальників послуг по сертифікації ключів (центрів сертифікації ключів);
засіб генерації ключів, засіб створення та засіб перевірки електронного підпису (далі разом – засоби електронного підпису) - програмний засіб, програмно-апаратний або апаратний пристрої, призначені відповідно для генерації ключів, створення та перевірки електронного підпису;
інформаційний посередник - особа, що від імені іншої особи відправляє, одержує або зберігає електронні документи або надає інші послуги у відношенні таких документів.
компрометація особистого чи таємного ключа - будь-яка подія та/або дія, що призвела або може призвести до не уповноваженого використання особистого чи таємного ключа;
контролюючий орган - державний орган, уповноважений центральним органом виконавчої влади виконувати контроль відповідності прав і обов’язків акредитованих постачальників послуг по сертифікації ключів, а також здійснювати безпосередньо акредитацію центрів сертифікації ключів.
надійний засіб створення підпису – апаратний чи програмний засіб зберігання та застосування ключа підпису, який щонайменше відповідає вимогам статті 7 цього Закону.
недозволене використання ключа підпису -
використання ключа підпису неналежною особою - особою, іншою, ніж його власник, якщо така особа не має наданих власником повноважень на використання; або
використання ключа підпису безпосередньо законним підписувачем, але з навмисним порушенням правил системи, для використання в якій цей ключ призначений;
недозволений ключ підпису - означає будь-який ключ підпису, який було загублено, викрадено, прострочено, блоковано, скасовано, отримано з наміром обману або неправомірного використання;
одержувач - особа, якій електронні дані відправляються підписувачем і яка перевіряє електронний підпис за винятком осіб, що діють як інформаційні посередники у відношенні електронних даних;
особистий ключ – ключ підпису, доступний тільки підписувачу;
підписувач - особа, яка має ключ підпису, використовує його для створення електронного підпису, підписання електронного документу та його відправлення;
посилений сертифікат ключа (далі - посилений сертифікат ключа) - сертифікат ключа, який відповідає вимогам цього Закону, і виданий акредитованим центром сертифікації ключів;
сертифікат ключа перевірки підпису (далі – сертифікат ключа) - електронні дані, що видані центром сертифікації ключів, які:
(а) пов’язують ключ перевірки підпису, і можливо додаткові елементи даних, з об’єктом чи особою, та
(б) засвідчують належність ключа перевірки підпису цьому конкретному об’єкту чи особі;
скасування сертифіката ключа – позбавлення сертифіката ключа законної сили до закінчення встановленого (законного) терміну його дії;
таємний ключ – ключ, який використовується як ключ підпису та ключ перевірки підпису і доступний двом або більше суб’єктам взаємовідносин у сфері електронної торгівлі, - підписувачу та одержувачу(ам);
центр сертифікації ключів (постачальник послуг по сертифікації ключів) – означає організацію чи фізичну особу, яка видає (формує) сертифікати ключів чи надає інші послуги, пов’язані з електронними підписами, в тому числі, розповсюдження, скасування, блокування та поновлення (зняття блокування) сертифікатів ключів, консультацій та інших послуг у сфері електронного підпису, згідно положень цього Закону;
чинний сертифікат ключа - означає сертифікат ключа, термін дії якого не закінчився і який не включено до списку скасованих чи заблокованих сертифікатів ключів;
Стаття 4. Електронні торговці
1. Електронна торгівля може здійснюватися будь якими особами, суб’єктами підприємницької діяльності.
2. Здійснення діяльності в галузі електронної торгівлі не вимагає отримання будь-якої попередньої ліцензії.
3. Право здійснювати електронну торгівлю виникає з моменту державної реєстрації юридичної особи, або суб’єкта підприємницької діяльності за винятком випадків, передбачених цим законом.
Стаття 5. Принципи правового регулювання електронної торгівлі
1. Правове регулювання електронної торгівлі ґрунтується на принципах рівності учасників врегульованих цим Законом відносин, свободи договору, безперешкодного здійснення підприємницької діяльності, вільного переміщення товарів, послуг і фінансових засобів на всій території України, а також гарантіях судового захисту прав учасників електронної торгівлі.
2. Фізичні і юридичні особи вільні у встановленні своїх прав і обов'язків на основі договору й у визначенні будь-яких умов договору що не суперечать діючому законодавству.
3. Придбання і здійснення фізичними і юридичними особами прав і обов'язків в області електронної торгівлі можуть бути обмежені тільки законами України та постановами Кабінету Міністрів України.
Стаття 6. Законодавство про електронну торгівлю
1. Електронна торгівля регулюється цим законом, іншими нормативними правовими актами, а також угодами сторін.
3. Законодавство про електронну торгівлю застосовується поряд з іншим законодавством України, що регулює підприємницьку діяльність, а також охорону прав споживачів.
4. Якщо міжнародним договором України встановлені інші правила, ніж ті, які передбачені законодавством про електронну торгівлю, застосовуються правила міжнародного договору.
РОЗДІЛ 2. ПРАВОВИЙ РЕЖИМ ЕЛЕКТРОННИХ ДОКУМЕНТІВ В ЕЛЕКТРОННІЙ ТОРГІВЛІ
Стаття 7. Правове визнання електронних документів
1. Угоди в сфері електронної торгівлі не можуть бути визнані недійсними тільки на тій підставі, що вони укладені і (або) виконані шляхом обміну електронними документами, за винятком випадків, передбачених цим законом.
2. Електронний документ не може бути застосовано як оригінал:
(1) документа, який згідно законодавства може бути створений лише на паперовому носії;
(2) документа, який відповідно до законодавства може бути створений лише в одному оригінальному примірнику, крім випадків існування централізованого сховища оригіналів електронних документів;
(3) в інших випадках, передбачених цим законом.
3. У разі коли законом передбачається вимога нотаріального посвідчення цивільно-правової угоди, така угода, оформлена шляхом створення електронного документа (електронних документів), повинна бути посвідчена електронним підписом нотаріуса, у порядку встановленому законом „Про нотаріат”.
4. Формати та структура даних, що складають електронний документ, його обов`язкові реквізити визначаються вимогами цим законом, відповідними нормативними документами, а також договорами між суб`єктами електронного документообігу.
Стаття 8. Форма угоди в електронній торгівлі
1. Угода, укладена шляхом обміну електронними документами є аналогом письмової форми угоди, вимоги до якої передбачені цивільним законодавством України.
Стаття 9. Правовий статус електронного підпису
1. Електронний підпис за своїм статусом має юридичну силу власноручного підпису, при цьому:
(1) Електронний підпис не може бути визнаний недійсним лише на тій підставі, що він має електронну форму.
(2) При укладанні договорів в електронній торгівлі, особи самостійно обирають вид електронного підпису, що його будуть застосовувати, і самостійно несуть будь-які ризики, пов’язані з правовими наслідками підписання та виконання угод з використанням обраного електронного підпису.
(3) Обов’язок доказування недійсності підпису або угоди покладається на сторона яка заперечує їх дійсність.
(4) Вимоги до електронних підписів, що використовуються винятково в межах систем, заснованих на добровільних угодах осіб, укладених між визначеною кількістю учасників, визначаються у відповідних угодах між ними.
2. Електронний підпис в електронній торгівлі повинен забезпечувати:
(1) неможливість з боку підписувача відмовитися від підписаних даних (електронного документу);
(2) неможливість підроблення електронного підпису – тільки особа, яка володіє ключем підпису могла підписати ці дані;
(3) неможливість внесення будь-яких змін в підписані дані, які можуть бути не виявлені шляхом перевірки підпису;
(4) можливість будь-кому, хто має зразок підпису у вигляді сертифіката ключа, перевірити оригінальність, справжність, цілісність даних, які підписані.
3. Недійсність електронного підпису.
Електронний підпис вважається недійсним у разі, якщо:
(1) під час формування підпису використовувався ключ підпису, відповідний сертифікат ключа якого не є чинним на момент створення електронного підпису; або
(2) ключ створення підпису не відповідає ключу перевірки підпису, зазначеному у сертифікаті ключа; або
(3) порушено цілісність даних сертифікату ключа;
(4) під час створення електронного підпису використовувався недозволений ключ підпису або мало місце недозволене використання ключа підпису;
(5) у будь-якому іншому випадку, коли під час перевірки підпису було отримано негативний результат.
4. Вимоги до засобів електронного підпису
Надійний засіб створення підпису повинен забезпечувати, що:
(1) якщо він забезпечує генерацію ключа підпису, то цей ключ підпису може виникнути лише один раз, а його конфіденційність забезпечується;
(2) ключ підпису не може вилучатися з цих засобів, а підпис захищається від підроблення за допомогою використання доступних технологій;
(3) зберігання ключа підпису може бути надійно захищене власником ключа підпису від не уповноваженого використання його іншими особами.
(4) неможливо фальсифікувати електронний підпис і сфальсифікувати підписані дані.
Засіб перевірки підпису має забезпечувати, принаймні, що:
(1) дані, які надходять до засобу перевірки підпису та використовуються для його перевірки, тотожні даним, що мають бути перевірені;
(2) підпис надійно перевіряється, а результат перевірки та аутентичність підпису негайно доступні для перегляду;
(3) засіб перевірки підпису може, при необхідності, точно встановлювати зміст підписаних даних;
(4) аутентичність сертифікату ключа, що вимагається під час перевірки підпису, ретельно перевіряється; результат перевірки негайно доступний для перегляду;
(5) встановлюється, якому власнику ключа підпису належить підпис; використання псевдоніму чітко вказується.
5. Вимоги до чинного сертифіката ключа
Чинний сертифікат ключа містить такі основні обов’язкові дані:
(1) номер версії формату сертифіката;
(2) унікальний реєстраційний номер (ідентифікаційний код) сертифіката ключа, який надається центром сертифікації ключів;
(3) ідентифікатор алгоритму підпису і його параметри, які використовуються центром сертифікації ключів під час створення сертифікату ключа;
(4) найменування та реквізити центру сертифікації ключів;
(5) термін чинності сертифіката ключа - дата і час початку та закінчення терміну чинності сертифіката ключа;
(6) основні дані (реквізити) власника особистого ключа чи псевдонім, який ідентифікується, як такий; ці данні повинні відповідати даним ключа перевірки підпису власника;
(7) ключ перевірки підпису, який відповідає ключу створення підпису власника особистого ключа;
(8) посилений електронний підпис центру сертифікації ключів.
Чинний сертифікат ключа повинен містити такі додаткові дані:
(1) інформацію про обмеження використання електронного підпису, якщо таке є, щодо сфери застосування чи вартості операцій; користувач сертифікату ключа і треті сторони повинні визнавати і враховувати ці обмеження;
(2) розширення базового ідентифікаційного коду сертифіката, що забезпечує засоби ідентифікації ключа перевірки підпису відповідному ключу створення підпису. Це розширення використовується там, де центр сертифікації ключів має декілька ключів створення підпису;
(3) розширення базових реквізитів центру сертифікації ключів, який визначає кількість рівнів сертифікаційних центрів. Використовується для перевірки автентичності центру сертифікації ключів, і зокрема, обов’язково для акредитованих центрів.
Інші дані можуть вноситися у посилений сертифікат ключа на вимогу його власника чи за його згодою, якщо такі дані вимагаються технологією оброблення електронних підписів, яка використовується.
Сертифікат ключа може містити на вимогу власника ключа посилання на те, що ключ підпису уповноважується для використання іншою особою, а також професійно-орієнтовані чи інші дані про власника.
При наданні повноважень по використанню ключа підпису іншій особі, згоду цієї особи необхідно підтверджувати, згідно чинного законодавства. Дані щодо уповноваженої довіреної особи власника ключа можуть записуватись тільки після підтвердження цією особою згоди на виконання наданих їй повноважень.
Професійно-орієнтовані чи інші дані про особу повинні бути підтверджені компетентним з цих питань органом.
Інші особисті дані про довірену особу можуть записуватись в сертифікаті ключа тільки за згодою цієї особи.
5. Особливості використання електронного підпису
(1) Особливості використання електронного підпису органами державної влади, органами місцевого самоврядування, установами та організаціями державної форми власності визначаються Кабінетом Міністрів України.
(2) Особливості використання електронного підпису в банківській діяльності визначаються Національним банком України за погодженням із випробувальним органом.
(3). Будь-які вимоги щодо особливості використання електронного підпису, які будуть в майбутньому визначені уповноваженими органами, мають бути об’єктивними, прозорими, пропорційними і недискримінаційними, і стосуватись виключно специфічних характеристик при відповідному застосуванні. Такі вимоги не можуть суперечити цьому Закону та створювати перешкоди для надання транскордонних послуг громадянам.
Стаття 10. Подання електронних документів у якості судових доказів
1. Допускається подання у якості письмових доказів електронних документів, підписаних за допомогою електронного підпису.
2. Допустимість доказів не може заперечуватися тільки з тих підстав, що вони представлені у формі електронних документів.
Стаття 11. Оригінал і копії електронного документа
1. Всі екземпляри електронного документа, підписані за допомогою електронного підпису є оригіналами. Електронний документ не може мати копій в електронному виді.
2. Копії електронного документа можуть бути виготовлені (роздруковані) у виді паперового документа і завірені власноручним підписом уповноваженої особи. Копії електронних документів на паперовому носії повинні відповідати вимогам законодавства України.
Стаття 12. Збереження електронних документів
1. Якщо відповідно до закону України, інших правових актів або за угодою сторін потрібне збереження документів, записів або іншої інформації, то даним вимогам задовольняє збереження електронних документів при дотриманні наступних вимог:
(1) інформація, що міститься в них, може бути використана для наступного посилання; і
(2) електронні документи зберігають формат, у якому вони були сформовані, передані або отримані, і
(3) електронні документи зберігається в тій мері, у якій вони дозволяють визначити відправника й одержувача електронних документів, а також дату і час їхнього формування або одержання, а також
(4) при дотриманні інших умов, передбачених законодавством про електронну торгівлю або угодою сторін.
2. Вимоги до збереження документів, записів або іншої інформації, передбачені пунктом 1, не поширюються на електронні документи, сформовані винятково з метою відправлення або одержання документів, записів або іншої інформації в електронному виді.
3. З метою збереження електронних документів відповідно до пункту 1 цієї статті, юридична або фізична особа може використовувати послуги іншої юридичної або фізичної особи.
Стаття 13. Час і місце відправлення й одержання електронного документа
1. електронний документ вважається відправленим, коли він надходить в інформаційну систему, що не перебуває під контролем підписувача. Якщо інше не передбачено угодою між підписувачем і одержувачем, час одержання електронного документа визначається в такий спосіб:
(1) якщо одержувач вказує інформаційну систему для цілей одержання такого документа, даних, одержання відбувається: у момент, коли електронний документ надходить у зазначену одержувачем інформаційну систему; або
(2) якщо електронний документ відправлений в інформаційну систему, що не є зазначеною одержувачем інформаційною системою, - у момент, коли електронний документ отриманий одержувачем, а саме: у момент надходження електронного документа в інформаційну систему одержувача.
2. Якщо інше не погоджено між одержувачем і підписувачем, електронний документ вважається відправленим у місці, де звичайно перебуває підписувач, і вважається отриманим у місці, де звичайно перебуває одержувач.
РОЗДІЛ 3. УКЛАДАННЯ ДОГОВОРІВ В ЕЛЕКТРОННІЙ ТОРГІВЛІ
Стаття 14. Укладання договору шляхом обміну електронними документами
1. Договір в електронній торгівлі може бути укладений шляхом обміну електронними документами, що дозволяють чітко установити, що документ виходить від сторони за договором. Якщо при укладанні договору використовуються електронні документи, то умови даного договору і зобов'язання сторін, що випливають з них, не можуть бути оскаржені сторонами тільки з тих підстав, що він укладений шляхом обміну електронними документами.
2. Виключення з правила, передбаченого п.1, можуть бути встановлені тільки цим законом.
Стаття 15. Порядок укладання договору в електронній торгівлі
1. При укладанні договору в електронній торгівлі оферта (пропозиція укласти договір) однієї зі сторін і її акцепт (прийняття пропозиції) іншою стороною можуть бути відправлені й отримані у виді електронних документів.
2. Пропозиція укласти договір (оферта) може бути спрямовано самим оферентом, або інформаційною системою, запрограмованою оферентом або від його імені і діючою автоматично.
3. Договір визнається укладеним у момент одержання акцепту особою, що направила оферту.
До оферті й акцепту, здійснюваним у виді електронних документів, застосовуються правила що відносяться до визначенню часу і місця відправлення й одержання електронного документа.
Підтвердження одержання електронного документа не є акцептом, якщо інше не передбачено угодою між відправником і одержувачем електронного документа.
Стаття 16. Умови договору в електронній торгівлі
1. Пропозиція укласти договір (оферта), у тому числі адресована невизначеному колу осіб, повинна містити всі істотні умови договору відповідно до законодавства України, а також обов'язкові умови, передбачені даним законом.
2. Договір в електронній торгівлі повинен містити наступні обов'язкові умови:
(1) технологію (процедуру) укладання договору;
(2) можливість і порядок внесення змін при узгодженні умов договору;
(3) спосіб і порядок акцепту;
(4) спосіб збереження і пред'явлення електронних документів і умови електронного доступу до даної документації, а також умови надання паперових копій електронних документів.
РОЗДІЛ 4. ПРАВОВИЙ РЕЖИМ ЦЕНТРІВ СЕРТИФІКАЦІЇ КЛЮЧІВ, ВИПРОБУВАЛЬНИХ ТА КОНТРОЛЮЮЧОГО ОРГАНІВ
Стаття 17. Правовий статус центру сертифікації ключів
1. Центром сертифікації ключів може бути юридична особа незалежно від форми власності або фізична особа, яка є суб'єктом підприємницької діяльності, що надає послуги по сертифікації ключів і виконує вимоги цього Закону.
2. Попередній дозвіл для надання послуг по сертифікації ключів не є обов’язковим.
Стаття 18. Акредитація центрів сертифікації ключів
1. Центри сертифікації ключів можуть ініціювати чи дати згоду на добровільну акредитацію, яка здійснюється контролюючим органом.
2. Акредитовані центри сертифікації ключів отримують сертифікат якості від контролюючого органу, яким підтверджується, що центр сертифікації ключів відповідає перевіреній технічній та адміністративній надійності та має необхідний кваліфікований персонал.
3. Обов’язковою є акредитація центрів сертифікації ключів в статусі засвідчувального органу, який формує сертифікати ключів інших центрів сертифікації ключів для забезпечення взаємодії державних та інших постачальників таких послуг, у тому числі – іноземних, а також виконує функції центрів сертифікації ключів, які ліквідуються.
4. Перевірка (повторна акредитація) центрів сертифікації ключів здійснюється після значних змін надійності центру, а також через регулярні проміжки часу, згідно умов, визначених для контролюючого органу Кабінетом Міністрів України.
5. Порядок акредитації та вимоги, яким повинен відповідати акредитований центр сертифікації ключів, встановлюються Кабінетом Міністрів України.
Стаття 19. Надання послуг по сертифікації ключів
1. Реєстрація підписувачів та надання послуг електронного підпису здійснюються центром сертифікації ключів на договірних засадах.
2. Для отримання послуги із засвідчення чинності ключа перевірки підпису сертифікатом ключа, підписувач надає центру сертифікації ключів дані, згідно до вимог статті 9 цього Закону.
3. Сертифікати ключів можуть розповсюджуватися в електронній формі або в паперових копіях.
4. Особливості порядку надання послуг центром сертифікації ключів органам державної влади, органам місцевого самоврядування, установам та організаціям державної форми власності встановлюються Кабінетом Міністрів України.
Стаття 20. Загальні вимоги до центру сертифікації ключів
1. Постачальник послуг сертифікації ключів повинен відповідати визначеній адміністративній надійності - мати відповідне забезпечення, щоб виконати свої законні обов’язки щодо компенсації користувачам послуг збитків, які можуть виникнути через те, що постачальник послуг порушує вимоги цього Закону чи через невідповідність продуктів електронного підпису, які він використовує, чи через буд-які технічні відмови обслуговування, що призвели до збитків користувача. Величина та форма забезпечення визначаються Кабінетом Міністрів України.
2. Послуги по сертифікації ключів може надавати тільки суб’єкт підприємницької діяльності, який підтверджує визначену адміністративну та технічну надійність та кваліфікаційний рівень, згідно вимог цього Закону.
3. Необхідна технічна надійність та кваліфікаційний рівень центру сертифікації ключів включає, як мінімум, виконання вимог статей 21 та 22 цього Закону.
4. Необхідний кваліфікаційний рівень центру сертифікації ключів включає наявність штатного персоналу з необхідними для цієї діяльності знаннями та досвідом.
5. Під час державної реєстрації суб’єкта підприємницької діяльності, як центру сертифікації ключів, мають бути виконані вимоги щодо надійності та кваліфікаційного рівня підприємства.
6. Виконання вимог щодо надійності та кваліфікаційного рівня підприємства по сертифікації ключів має бути забезпечене на всьому проміжку часу діяльності центру сертифікації ключів. Про невідповідність цим вимогам підприємство по наданню послуг сертифікації ключів повинне негайно сповістити контролюючий орган.
7. Засвідчувальний орган згідно до свого статусу повинен мати підвищений рівень адміністративної та технічної надійності для виконання своїх обов’язків та підтримки діяльності пов’язаних з ним інших центрів сертифікації ключів.
8. Порядок взаємодії між засвідчувальним органом та іншими центрами сертифікації ключів визначається згідно до вимог цього Закону та має бути відображений у договорах між ними.
Стаття 21. Права та обов'язки центру сертифікації ключів
1. Центр сертифікації ключів має право:
(1) надавати послуги електронного підпису та обслуговувати сертифікати ключів;
(2) отримувати та перевіряти інформацію, необхідну для реєстрації підписувача і формування сертифікату ключа, безпосередньо у власника ключа підпису чи його уповноваженого представника.
2. Центр сертифікації ключів зобов’язаний:
(1) використовувати для надання послуг надійні засоби електронного підпису;
(2) вживати заходів для забезпечення безпеки інформації під час сертифікації ключів та зберігання сертифікатів ключів;
(3) встановлювати під час формування сертифікату ключа належність ключа підпису та відповідного особистого ключа підписувачу;
(4) забезпечувати захист персональних даних щодо підписувача згідно до законодавства України;
(5) своєчасно скасовувати, блокувати та поновлювати сертифікати ключів у випадках, передбачених цим Законом;
(6) перевіряти законність звернень про скасування і блокування сертифікатів ключів та зберігати документи, на підставі яких були скасовані або блоковані сертифікати ключів;
(7) цілодобово приймати заяви про скасування, блокування та поновлення сертифікатів ключів;
(8) вести електронні реєстри чинних, скасованих і блокованих сертифікатів ключів та документацію, перелік якої визначається контролюючим органом і затверджується Кабінетом Міністрів України;
(9) забезпечувати цілодобово доступ користувачів до сертифікатів ключів та відповідних електронних реєстрів через загальнодоступні телекомунікаційні канали;
(10) забезпечувати зберігання сформованих сертифікатів ключів протягом терміну, який передбачено законодавством України для зберігання відповідних паперових документів;
(11) надавати консультації з питань, пов’язаних з електронним підписом;
(12) до того, як вступати в договірні відносини з особою, яка прагне отримати сертифікат ключа, що засвідчує її електронний підпис, повідомити таку особу через надійні засоби зв’язку про точні терміни та умови використання сертифікату ключа, включаючи будь-які обмеження його використання, існування системи добровільної акредитації та процедури подання скарг і врегулювання спорів. Така інформація, що може надаватись в електронному вигляді, повинна бути викладена державною мовою. Відповідні частини цієї інформації також мають бути доступними на запит третіх сторін, які покладаються на сертифікат ключа;
(13) вжити заходів щодо виключення можливості фальсифікації та викривлення точного часу під час надання послуг фіксування часу;
(14) надійно ідентифікувати осіб, які звертаються щодо отримання сертифікату ключа;
(15) обслуговувати сертифікати ключів лише за згодою їх власників;
(16) на вимогу заявника-підписувача - надати йому псевдонім;
(17) надати заявнику-підписувачу інформацію щодо заходів, які вимагаються для того, щоб забезпечити захист електронного підпису та надійну його перевірку;
(18) попередити заявника-підписувача, що електронний підпис, згідно законодавства України, прирівнюється до власноручного підпису;
(19) надати заявнику-підписувачу письмову інструкцію розроблену відповідно до вимог цього Закону, згоду з якою заявник повинен підтвердити підписом;
(20) забезпечувати функціонування швидкого та безпечного надання довідкових послуг та невідкладне й безпечне анулювання послуг;
(21) забезпечувати чітке визначення дати й часу видачі і анулювання сертифікату ключа;
(22) забезпечувати надання заявнику-підписувачу підтвердження своєї надійності та кваліфікаційного рівня, згідно вимог статті 13 цього Закону.
3. Центрам сертифікації ключів забороняється вимагати від заявника-підписувача придбання будь-яких товарів чи послуг від центру сертифікації ключів або від спорідненої чи пов'язаної особи центру, як обов'язкову умову надання послуг.
4. Центри сертифікації ключів повинні :
(1) демонструвати надійність, необхідну для постачання послуг по сертифікації;
(2) наймати штат осіб, що мають спеціальні знання, досвід та кваліфікацію, необхідну для надання послуг, зокрема, компетентних осіб на рівні управління, експертизи у технології електронних підписів та обізнаних із правилами безпеки; вони також повинні застосовувати адекватні адміністративні правила та процедури, і такі, що відповідають визнаним стандартам.
5. Зберігання ключа підпису центру сертифікації ключів інакше, ніж з використанням надійних засобів підпису, забороняється.
6. Зберігання особистих ключів підписувачів та ознайомлення з ними в центрі сертифікації ключів забороняється.
Стаття 22. Зобов'язання щодо збереження персональних даних
1. Інформація щодо власника ключа підпису чи його довіреної особи, яка стала відомою центру сертифікації ключів у процесі обслуговування клієнта та взаємовідносин з ним чи третім особам при наданні послуг і розголошення якої може завдати матеріальної чи моральної шкоди клієнту, є персональними даними.
2. Персональними даними, зокрема, є:
(1) інші дані про особу, які не є обов’язковими щодо сертифікату ключа і згоду на розголошення яких особа не надавала;
(2) операції, які були проведені із запитом сертифікату ключа на користь чи за дорученням власника ключа;
(3) інформація про системи захисту електронної інформації центру сертифікації ключів та його клієнтів;
(4) ключі підпису та коди, що використовуються центром сертифікації ключів чи його клієнтом для захисту електронної інформації.
3. Постачальник послуг по сертифікації ключів може отримувати інформацію щодо особи виключно безпосередньо від суб’єкта інформації або після чіткої згоди суб’єкта інформації і виключно тому, що це необхідно для цілей видачі та збереження в силі сертифікату ключа. Інформація не може збиратись чи оброблятись для будь-яких інших цілей без чіткої згоди на те суб’єкта інформації.
4. Центри сертифікації ключів зобов'язані забезпечити збереження персональних даних шляхом:
(1) обмеження кола осіб, що мають доступ до персональних даних;
(2) організації спеціального діловодства з документами, що містять персональні дані;
(3) застосування технічних засобів для запобігання несанкціонованому доступу до електронних та інших носіїв інформації;
(4) застосування застережень щодо збереження персональних даних та відповідальності за їх розголошення у договорах і угодах між центром сертифікації ключів і його клієнтом.
5. Службовці центру сертифікації ключів під час призначення на посаду підписують зобов'язання щодо збереження персональних даних. Керівники та службовці центрів сертифікації ключів зобов'язані не розголошувати та не використовувати з вигодою чи на користь для себе, чи для третіх осіб інформацію, яка містить персональні дані і стала відома їм при виконанні своїх службових обов'язків.
6. Приватні особи та організації, які при виконанні своїх функцій або наданні послуг центру сертифікації ключів безпосередньо чи опосередковано отримали персональні дані, зобов'язані не розголошувати цю інформацію і не використовувати її на свою користь чи на користь третіх осіб.
7. У разі заподіяння центру сертифікації ключів чи його клієнту збитків шляхом витоку інформації про центри сертифікації ключів та їх клієнтів з органів, які уповноважені здійснювати контрольні функції, збитки відшкодовуються цими органами.
8. Інформація щодо юридичних та фізичних осіб, яка містить персональні дані, розкривається центрами сертифікації ключів:
(1) на письмовий запит або з письмового дозволу власника такої інформації;
(2) на письмову вимогу суду або за рішенням суду;
(3) органам прокуратури України, Служби безпеки України, Міністерства внутрішніх справ України – виключно в випадках порушення кримінальної справи на їх письмову вимогу стосовно операцій за конкретний проміжок часу за сертифікатами ключів конкретної юридичної або фізичної особи.
9. Обмеження стосовно отримання інформації, що містить персональні дані, передбачені цією статтею, не поширюються на службовців контролюючого органу або уповноважених ним осіб, які в межах своїх повноважень здійснюють функції контролю.
10. Особи, винні в порушенні порядку розкриття та використання персональної інформації, несуть відповідальність згідно із законами України.
Стаття 23. Скасування, блокування та поновлення сертифікату ключа
1. Центр сертифікації ключів негайно скасовує сформований ним сертифікат ключа у разі:
(1) закінчення терміну чинності сертифікату ключа;
(2) подання заяви власника ключа підпису або його представника;
(3) припинення діяльності юридичної особи - власника ключа підпису;
(4) смерті фізичної особи - власника ключа підпису або оголошення його померлим за рішенням суду;
(5) визнання власника ключа підпису недієздатним за рішенням суду;
(6) надання власником ключа підпису недостовірних даних;
(7) компрометації ключа підпису.
2. Центр сертифікації ключів негайно блокує сертифікат ключа у разі:
(1) заяви власника ключа підпису або його уповноваженого представника;
(2) вимоги суду, прокуратури, слідства з метою запобігання злочину;
(3) отримання неоднозначних даних про компрометацію.
3. Скасування і блокування сертифіката ключа набирає чинності з моменту внесення до реєстру скасованих і блокованих сертифікатів ключів відповідних даних із зазначенням дати та часу здійснення цієї процедури.
4. Центр сертифікації ключів негайно повідомляє про скасування або блокування сертифіката ключа його власника та його уповноваженого представника.
5. Блокований сертифікат ключа поновлюється:
(1) за заявою власника ключа або його представника;
(2) у разі встановлення недостовірності даних про компрометацію особистого ключа підпису і за згодою його власника.
6. Технічні вимоги до скасування, блокування та поновлення сертифікатів ключів визначаються контролюючим органом.
Стаття 24. Припинення діяльності центру сертифікації ключів
1. Центр сертифікації ключів припиняє свою діяльність відповідно до законодавства України.
2. Для припинення діяльності центр сертифікації ключів повідомляє про свій намір контролюючий орган, засвідчувальний орган та підписувачів за три місяці, якщо інші строки не визначено законодавством України.
3. До припинення діяльності центр сертифікації ключів передає сертифікати ключів, відповідні реєстри сертифікатів ключів та документовану інформацію, що підлягає обов’язковій передачі, іншому центру сертифікації ключів за його згодою, а у разі відсутності такої згоди – контролюючому органу чи визначеному ним засвідчувальному органу.
4. Порядок передачі сертифікатів ключів, відповідних реєстрів сертифікатів ключів та документованої інформації, що підлягають обов’язковій передачі, визначається контролюючим органом.
Стаття 25. Відповідальність центру сертифікації ключів
1. Постачальник послуг по сертифікації ключів несе відповідальність за порушення вимог цього Закону чи відповідних постанов Кабінету Міністрів, чи відмову в наданні послуг з інших технічних причин, що призвело до нанесення збитків клієнтам чи третім особам, які вони несуть від того, що довіряють даним в сертифікатах ключів чи в послугах фіксування часу.
2. Постачальник послуг по сертифікації ключів, видаючи сертифікат ключа в якості чинного сертифікату ключа чи гарантуючи такий сертифікат ключа, несе відповідальність за шкоду, заподіяну будь-якій юридичній чи фізичній особі, яка вмотивовано покладалася на цей сертифікат:
(1) стосовно точності всієї інформації на час видачі, яка міститься у чинному сертифікаті ключа і стосовно того факту, що сертифікат ключа містить всі деталі, необхідні для чинного сертифікату ключа;
(2) для впевненості в тому, що на час видачі сертифікату ключа власник ключа підпису володів ключем підпису, який відповідає ключу перевірки підпису в сертифікаті ключа.
3. Постачальник послуг по сертифікації ключів, який видавав сертифікат ключа в якості чинного сертифікату ключа, несе відповідальність за шкоду, заподіяну будь-якій юридичній чи фізичній особі, яка вмотивовано покладалась на сертифікат ключа, яка виникла внаслідок неспроможності зареєструвати анулювання сертифікату ключа.
4. Зобов’язання центру сертифікації ключів щодо компенсації збитків не виникає в разі, якщо:
(1) чинний сертифікат ключа використовувався з перевищенням обмежень, передбачених в сертифікаті ключа;
(2) користувач сертифікату ключа чи третя особа знала повідомлення про помилку чи повинна була знати;
(3) центр сертифікації ключів діяв застережливо і з виконанням вимог цього Закону.
5. Якщо сертифікат ключа обмежує використання ключа підпису визначеними сферою застосування чи сумою операції, то зобов’язання щодо компенсації збитків не повинні перевищувати ці встановлені обмеження.
6. Центр сертифікації ключів несе відповідальність за треті особи, з якими він має відносини щодо надання послуг по сертифікації, а також за визнані ним іноземні сертифікати ключів.
Статтю 26. Права та обов'язки підписувачів у відносинах з сертифікаційними центрами
1. Підписувач має право:
(1) вимагати надання центром сертифікації підтвердження його надійності та кваліфікаційного рівня, згідно вимог статті 13 цього Закону.
(2) вимагати скасування, блокування або поновлення свого сертифіката ключа;
(3) оскаржити дії чи бездіяльність центру сертифікації ключів у судовому порядку;
(4) доступу до інформації щодо діяльності центру сертифікації ключів, який зобов'язаний на вимогу власника ключа, клієнта центру сертифікації ключа, надати таку інформацію:
(а) відомості, які підлягають обов'язковій публікації, про фінансові показники діяльності центру та його економічний стан;
(б) перелік керівників центру сертифікації ключів та його відокремлених підрозділів, а також фізичних та юридичних осіб, які мають істотну участь у підприємстві;
(в) перелік послуг, що надаються центром сертифікації ключів;
(г) ціну послуг;
(д) іншу інформацію та консультації з питань надання послуг сертифікації ключів.
2. Підписувач зобов'язаний:
(1) зберігати особистий ключ підпису у таємниці;
(2) своєчасно надавати центру сертифікації ключів інформацію про зміну даних, відображених в сертифікаті ключа.
(3) виконувати письмову інструкцію, розроблену відповідно до вимог цього Закону, надану йому центром сертифікації ключів, згоду з якою власник ключа повинен підтвердити окремим підписом.
Стаття 27. Випробувальний орган
1. Функції випробувального органу здійснює державний орган, спеціально уповноважений Кабінетом Міністрів України.
2. Якщо випробувальний орган, призначений згідно до цього Закону, є частиною (підрозділом) організації, яка виконує функції інші, ніж оцінка надійних засобів електронного підпису на відповідність вимогам безпеки, то цей підрозділ повинен бути чітко визначений в межах організації.
3. Випробувальний орган і його штат не повинні приймати участь в будь-яких діях, які можуть входити в протиріччя з незалежністю їх висновків і цілісністю їх задач. Зокрема, випробувальний орган повинен бути незалежним від сторін, засоби яких підлягають випробуванню, в тому числі персонал випробувального органу:
(1) не повинен приймати участь в проектних, виробничих, маркетингових роботах, чи виконувати роботи з встановлення чи обслуговування засобів електронного підпису;
(2) не повинен приймати участь в службі акредитації.
Вимоги цього пункту не заважають можливості обміну технічною інформацією між виробником і випробувальним органом.
4. На випробувальний орган покладається організація та проведення випробувань і сертифікація засобів електронного підпису на відповідність національним чи міжнародним стандартам безпеки електронної інформації з метою надання сертифіката відповідності (безпеки), в тому числі:
(1) в технічних засобах інформаційних систем чи їх компонентів;
(2) в програмних засобах інформаційних систем чи їх компонентів.
5. Випробувальний орган повинен сприяти забезпеченню безпеки в інформаційних технологіях шляхом:
(1) дослідження потенційних загроз безпеки інформаційних технологій, а також розроблення відповідних заходів попередження загроз;
(2) розроблення критеріїв, методів і інструментів для тестування і оцінки надійності інформаційних систем чи їх компонентів;
(3) здійснення перевірки (тестування) і оцінки надійності інформаційних систем чи компонентів та видачі сертифікатів безпеки;
(4) надання дозволу на використання інформаційних систем чи компонентів, які повинні використовуватись для оброблення інформації, що є власністю держави, або інформації, захист якої гарантується державою.
6. Сертифікат безпеки видається, якщо:
(1) Технічна інформаційна система чи її компонент відповідають вимогам державних стандартів чи встановленим критеріям і міжнародним стандартам; і
(2) Сертифікати інших визнаних випробувальних органів в цій галузі визнаються в Україні. Перелік таких випробувальних органів затверджується Кабінетом Міністрів України.
7. Випробувальний орган повинен бути прозорим в його методах оцінки і повинен публікувати доречну інформацію відносно цих методів. Всі зацікавлені сторони повинні мати доступ до послуг випробувального органу.
8. Випробувальний орган несе відповідальність за якісне виконання функцій з оцінки. Він повинен мати адекватне забезпечення, щоб компенсувати шкоду, заподіяну будь-якій юридичній чи фізичній особі, яка вмотивовано покладалась на експертні висновки та сертифікати безпеки, які видані цим випробувальним органом.
9. Випробувальний орган має право передати свої повноваження, чи їх частину, випробувальним центрам, які повинні гарантувати і демонструвати компетентність щодо виконання таких функцій. Випробувальний орган несе повну відповідальність за роботу випробувальних центрів. Остаточне рішення щодо оцінки і надання сертифікатів безпеки залишається за випробувальним органом.
10. Випробувальний орган розробляє загальні вимоги до забезпечення безпеки інформації в сфері використання електронного підпису для органів державної влади, органів місцевого самоврядування, установ та організацій державної форми власності.
11. Випробувальний орган надає рекомендації щодо забезпечення безпеки інформації у сфері використання електронного підпису для підприємств і організацій недержавної форми власності та фізичних осіб.
Стаття 28. Контролюючий орган
1. Функції контролюючого органу здійснює орган, спеціально уповноважений Кабінетом Міністрів України.
2. Контролюючий орган перевіряє дотримання вимог цього Закону центрами сертифікації ключів.
3. У разі невиконання або неналежного виконання обов’язків та виявлення порушень вимог, установлених для центру сертифікації ключів, контролюючий орган негайно вживає заходи, передбачені законодавством.
4. Контролюючий орган здійснює акредитування центрів сертифікації ключів та надає необхідні для їх діяльності кваліфікаційні свідоцтва щодо відповідності вимогам цього Закону (сертифікат відповідності).
5. Контролюючий орган здійснює функції акредитування на підставі Інструкції про надання сертифікату відповідності акредитованим центрам сертифікації ключів.
6. Контролюючий орган має право видати розпорядження щодо вилучення (скасування) сертифікату відповідності акредитованого центру сертифікації ключів у разі, якщо акредитований центр сертифікації ключів:
(1) припиняє свою діяльність;
(2) не виконує вимоги цього Закону.
7. Контролюючий орган має право заборонити центру сертифікації ключів надавати послуги по сертифікації ключів тимчасово чи повністю, якщо центр:
(1) не відповідає вимогам надійності, згідно цього Закону;
(2) не відповідає вимогам щодо кваліфікації персоналу.
8. Сертифікати, випущені центром сертифікації до його заборони чи припинення діяльності, згідно п.п. 8, 9 цієї статті, залишаються дійсними.
9. Контролюючий орган має право заблокувати сертифікат ключа, якщо встановлено факт підроблення сертифікату ключа, чи виявлено недоліки захисту надійних засобів підпису центру сертифікації, які допускають непомітне підроблення чи непомітне перекручення кваліфікованого електронного підпису центру сертифікації ключів.
10. Контролюючий орган здійснює контроль:
(1) Найменування, адреси і комунікаційного підключення центрів сертифікації ключів;
(2) За наданням центрам сертифікації ключів сертифіката ключа засвідчувального органу, його блокування чи скасування з інших причин, ніж зазначених у п.8 цієї статті.
11. Контролюючий орган забезпечує в будь-який час та відкрито доступну, актуальну інформацію щодо акредитованих центрів сертифікації ключів, згідно п.п. 8, 9 цієї статті. Ця інформація повинна надаватись способом, що дозволяє отримувачу перевірити її достовірність та цілісність.
12. Контролюючий орган може делегувати частину своїх повноважень іншій організації, установі. Делегування таких повноважень не знімає відповідальності з контролюючого органу за якісне виконання функцій, визначених цим Законом.
РОЗДІЛ 5. ІНФОРМАЦІЙНІ ПОСЕРЕДНИКИ
Стаття 29. Послуги інформаційних посередників
1. Учасники електронної торгівлі з метою обміну електронними документами, а також збереження електронних документів можуть звертатися до послуг інформаційних посередників. Послуги інформаційних посередників полягають в передачі електронних документів по телекомунікаційній мережі, а також наданні учасникам електронної торгівлі доступу до телекомунікаційної мережі. Передача електронних документів і надання доступу до телекомунікаційної мережі, передбачені в п.1 цієї статті, включають автоматичне і короткочасне збереження переданих електронних документів з винятковою метою здійснити їхню передачу по телекомунікаційній мережі.
2. Інформаційний посередник не несе юридичної відповідальності, пов'язаної зі змістом переданого ним електронного документа при наступних умовах:
(1) інформаційний посередник не є підписувачем електронного документа;
(2) інформаційний посередник самостійно не визначав одержувача електронного документа;
(3) інформаційний посередник не формував зміст електронного документа.
3. Інформаційний посередник не несе відповідальності за збереження електронних документів при автоматичному і короткочасному збереженні даних документів з метою їхньої передачі, здійснюваної за доручення учасника електронної торгівлі.
4. Інформаційний посередник не зобов'язаний контролювати і перевіряти законність переданих і збережених електронних документів за винятком випадків, передбачених законодавством України.
Стаття 30. Зобов'язання інформаційних посередників
1. Інформаційний посередник повинен зберігати таємницю електронних повідомлень і документів, маршрути сполучень, типи і протоколи сполучень та іншу інформацію щодо змісту, як самих повідомлень і документів, так і дій своїх клієнтів або абонентів.
2. Будь-який вид перехоплення чи контролю над електронними документами та повідомленнями іншими суб’єктами, відмінними від відправників та одержувачів, не допускається.
3. Зміст електронного документу чи повідомлення, запису та протоколи комунікаційних сполучень щодо цього документу/повідомлення розкриваються та надаються інформаційним посередником:
(1) клієнтам або абонентам, чи їх уповноваженим представникам, якими це повідомлення створене чи яким воно передається або призначається;
(2) судам, органам прокуратури, службі безпеки, внутрішніх справ України у справах, що знаходяться в їх провадженні;
(3) іншим особам, у разі наявності письмового дозволу абонента або клієнта.
4. Будь-яка особа, яка отримала, як зазначено у п.4 цієї статті електронні записи чи данні, або протоколи комунікаційних сполучень щодо електронного документу/повідомлення може розкрити цю інформацію виключно суду, органам прокуратури, служби безпеки, внутрішніх справ України на підставах, що вказані у п.3 цієї статті.
5. Інформація щодо підписувача, одержувача, угоди між ними, тощо, яка стала відомою інформаційному посереднику у процесі обслуговування останніх та взаємовідносин з ними чи третім особам при наданні послуг і розголошення якої може завдати матеріальної чи моральної шкоди підписувачу або одержувачу, є персональними даними.
6. Інформаційний посередник може отримувати та відправляти інформацію зазначену в п.5 цієї статті виключно безпосередньо від суб’єкта інформації або після чіткої згоди суб’єкта інформації і виключно з метою обміну електронними документами між підписувачем та одержувачем. Інформація не може збиратись чи оброблятись для будь-яких інших цілей без чіткої згоди на те суб’єкта інформації.
7. Інформаційний посередник зобов'язаний забезпечити збереження персональних даних шляхом:
(1) обмеження кола осіб, що мають доступ до персональних даних;
(2) застосування технічних засобів для запобігання несанкціонованому доступу до електронних та інших носіїв інформації;
8. Службовці інформаційного посередника під час призначення на посаду підписують зобов'язання щодо збереження персональних даних. І мають не розголошувати та не використовувати з вигодою чи на користь для себе, чи для третіх осіб інформацію, яка містить персональні дані.
5. Інформація, яка містить персональні дані, розкривається інформаційними посередниками:
(1) на письмовий запит або з письмового дозволу власника такої інформації;
(2) на письмову вимогу суду або за рішенням суду;
(3) органам прокуратури України, Служби безпеки України, Міністерства внутрішніх справ України – виключно в випадках порушення кримінальної справи на їх письмову вимогу.
6. Особи, винні в порушенні порядку розкриття та використання персональної інформації, несуть відповідальність згідно із законами України.
Стаття 31. Функції Кабінету Міністрів України
1. Для здійснення вимог цього Закону Кабінет Міністрів України уповноважується щодо визначення порядку виконання таких функцій:
(1) оформлення зобов’язань постачальників послуг по сертифікації ключів під час реєстрації підприємства, а також під час ліквідації підприємства;
(2) затвердження порядку акредитування центрів сертифікації ключів;
(3) визначення форми та розміру забезпечення надійності центру сертифікації ключів, згідно цього Закону;
(4) призначення випробувального органу, уповноваженого за організацію та проведення випробувань і сертифікацію безпеки засобів електронного підпису на відповідність національним та/чи міжнародним стандартам з метою надання сертифікату відповідності (безпеки); затвердження порядку роботи та контролю, а також регламентування діяльності і організацію контролю за діяльністю такого уповноваженого органу;
(5) визнання зарубіжних уповноважених випробувальних органів щодо надійних засобів електронного підпису; затвердження методу та порядку встановлення рівноцінної надійності іноземних сертифікатів ключів, електронних підписів та засобів електронного підпису.
Стаття 32. Визнання іноземних сертифікатів ключів
Іноземні сертифікати ключів, засвідчені у відповідності до законодавства тих держав, де вони видані, визнаються в Україні, згідно норм і принципів міжнародного права.
Стаття 33. Прикінцеві положення
1. Цей Закон набирає чинності через шість місяців з дня його опублікування.
2. Кабінету Міністрів України у шестимісячний строк:
(1) визначити випробувальний та контролюючий органи;
(2) затвердити перелік норм та стандартів щодо електронного підпису;
(3) прийняти інші нормативно-правові акти, передбачені цим Законом;
3. Національному банку України у шестимісячний строк привести свої нормативно-правові акти у відповідність з цим Законом.
4. Кабінету Міністрів України до 1 січня 2004 року забезпечити:
(1) використання в Україні європейських та міжнародних стандартів інформаційної безпеки;
(2) затвердити процедуру визнання сертифікатів безпеки та відповідно перелік випробувальних центрів інших держав, сертифікати безпеки яких визнаються в Україні.
5. Кабінету Міністрів України до 1 січня 2005 року забезпечити організацію робіт випробувального органу на рівні визнаних європейських випробувальних органів.
ПРОЕКТ
Вноситься народними депутатами України
Закон України „Про електронну торгівлю”
РОЗДІЛ 1. ЗАГАЛЬНІ ПОЛОЖЕННЯ
Стаття 1. Мета цього закону
1.Метою цього закону є забезпечення правових умов для електронної торгівлі: закріплення прав і обов'язків осіб, що здійснюють електронну торгівлю, визначення правил виконання угод з використанням електронних документів, а також визнання електронних документів як судових доказів.
2. Політикою Держави в галузі електронної торгівлі є:
(1) забезпечення розвитку електронної торгівлі, взаємодіючих комп'ютерних служб і засобів аудіовізуальної інформації;
(2) підтримання конкурентного і вільного ринку;
(3) заохочення розвитку технологій, які підвищують контроль користувача за електронними операціями та їх безпекою;
(4) забезпечення економічного і соціального прогресу, стимулювання інвестицій в інноваційні технології;
(5) гарантування виконання правових заходів щодо попередження та покарання за будь-яке шахрайство чи зловживання в галузі електронної торгівлі та електронного грошового обігу.
Стаття 2 . Відносини, врегульовані цим законом
1. Цей закон регулює відносини, що виникають між особами, що здійснюють підприємницьку діяльність, або з їхньою участю при виконанні угод і інших юридичних дій з використанням електронних документів.
2. Зміст окремих видів зобов'язань, що виникають з підстав, передбачених п. 1 даної Статті, і порядок їхнього виконання регулюється цивільним законодавством.
Стаття 3. Визначення
У цьому Законі терміни вживаються у такому значенні:
аутентичність об’єкта/особи - підтвердження дійсності, достовірності, ототожнення об’єкта/особи (саме той, за кого себе видає);
аутентичність даних – підтвердження дійсності, достовірності (перевірка цілісності) даних, тобто що дані не були змінені чи замінені;
акредитація - отримання дозволу центром сертифікації ключів, на провадження діяльності, пов'язаної з обслуговуванням сертифікатів ключів;
блокування сертифіката ключа - тимчасове зупинення чинності сертифіката ключа;
власник ключа підпису - фізична чи юридична особа, що володіє ключем підпису, якому відповідає ключ перевірки підпису, належність якого цій особі засвідчена відповідним сертифікатом ключа;
випробувальний орган – державний орган, уповноважений центральним органом виконавчої влади для організації та проведення випробувань засобів електронного підпису на відповідність національним чи міжнародним стандартам з метою надання сертифікату відповідності (якості);
дані для перевірки підпису (далі - ключ перевірки підпису) - дані, такі як коди чи криптографічні ключі, які використовуються з метою перевірки електронного підпису;
дані, що створюють підпис (далі - ключ підпису, або ключ створення підпису) - означає виняткові дані, такі як коди чи криптографічні ключі, які використовуються підписувачем для створення електронного підпису;
інформаційна система - сукупність програмних або програмно-апаратних засобів, методів і процедур, що застосовуються для створення, відправлення, передавання, одержання, зберігання, оброблення, використання, знищення, перевірки цілісності або іншої обробки електронних документів;
електронні дані - дані, які формуються, оброблюються, зберігаються, відправляються та отримуються за допомогою електронних засобів;
електронний документ - документ, інформація, в якому представлена у формі електронних даних, включаючи обов’язкові реквізити документа, у тому числі й електронний підпис, та яка може бути сформована, передана, оброблена, збережена на матеріальному носії і перетворена/відновлена у візуальну форму подання. Візуальною формою подання електронного документа є відображення даних, які він містить, електронними засобами або на папері у формі, придатній для сприймання його змісту людиною;
електронні засоби – будь-які програмно-апаратні засоби, що використовуються в інформаційній системі;
електронна інформація означає дані, текст, коди, комп’ютерну програму, програмне забезпечення, бази даних, або подібне;
електронне повідомлення – документ, який не має обов’язкових реквізитів і інформація в якому представлена у формі електронних даних та має характер інформування про будь-яку подію;
електронний технічний запис означає відображення даних електронних засобів (зокрема, комп’ютера) щодо стану чи перебігу подій, і цей запис створений самостійно технічним пристрієм цілком чи в будь-якій частині;
електронний підпис - дані в електронній формі, які додаються до інших даних або логічно з ними пов'язані і використовуються для встановлення аутентичності даних, з якими вони пов’язані або і до яких відносяться, та аутентичності підписувача;
електронний підпис посилений (посилений електронний підпис) – вид електронного підпису, який додатково відповідає таким вимогам:
(а) він пов’язаний винятково з підписувачем;
(б) підписувач може тримати під своїм повним контролем засіб створення підпису;
електронний підпис кваліфікований (кваліфікований електронний підпис) – вид посиленого електронного підпису, який створений:
(a) з використанням особистого ключа, який має посилений сертифікат ключа; і
(б) за допомогою надійного засобу створення підпису;
електронна торгівля - укладання шляхом обміну електронними документами будь-яких цивільно-правових угод, а також придбання і здійснення з використанням електронних засобів інших прав і обов'язків у сфері підприємницької діяльності;
електронний торговець – юридична або фізична особа, яка є суб’єктом підприємницької діяльності, що здійснює з використанням електронних документів укладання та виконання будь-яких цивільно-правових угод;
засвідчувальний орган – акредитований центр сертифікації ключів, який додатково формує сертифікати ключів для інших постачальників послуг по сертифікації ключів (центрів сертифікації ключів);
засіб генерації ключів, засіб створення та засіб перевірки електронного підпису (далі разом – засоби електронного підпису) - програмний засіб, програмно-апаратний або апаратний пристрої, призначені відповідно для генерації ключів, створення та перевірки електронного підпису;
інформаційний посередник - особа, що від імені іншої особи відправляє, одержує або зберігає електронні документи або надає інші послуги у відношенні таких документів.
компрометація особистого чи таємного ключа - будь-яка подія та/або дія, що призвела або може призвести до не уповноваженого використання особистого чи таємного ключа;
контролюючий орган - державний орган, уповноважений центральним органом виконавчої влади виконувати контроль відповідності прав і обов’язків акредитованих постачальників послуг по сертифікації ключів, а також здійснювати безпосередньо акредитацію центрів сертифікації ключів.
надійний засіб створення підпису – апаратний чи програмний засіб зберігання та застосування ключа підпису, який щонайменше відповідає вимогам статті 7 цього Закону.
недозволене використання ключа підпису -
використання ключа підпису неналежною особою - особою, іншою, ніж його власник, якщо така особа не має наданих власником повноважень на використання; або
використання ключа підпису безпосередньо законним підписувачем, але з навмисним порушенням правил системи, для використання в якій цей ключ призначений;
недозволений ключ підпису - означає будь-який ключ підпису, який було загублено, викрадено, прострочено, блоковано, скасовано, отримано з наміром обману або неправомірного використання;
одержувач - особа, якій електронні дані відправляються підписувачем і яка перевіряє електронний підпис за винятком осіб, що діють як інформаційні посередники у відношенні електронних даних;
особистий ключ – ключ підпису, доступний тільки підписувачу;
підписувач - особа, яка має ключ підпису, використовує його для створення електронного підпису, підписання електронного документу та його відправлення;
посилений сертифікат ключа (далі - посилений сертифікат ключа) - сертифікат ключа, який відповідає вимогам цього Закону, і виданий акредитованим центром сертифікації ключів;
сертифікат ключа перевірки підпису (далі – сертифікат ключа) - електронні дані, що видані центром сертифікації ключів, які:
(а) пов’язують ключ перевірки підпису, і можливо додаткові елементи даних, з об’єктом чи особою, та
(б) засвідчують належність ключа перевірки підпису цьому конкретному об’єкту чи особі;
скасування сертифіката ключа – позбавлення сертифіката ключа законної сили до закінчення встановленого (законного) терміну його дії;
таємний ключ – ключ, який використовується як ключ підпису та ключ перевірки підпису і доступний двом або більше суб’єктам взаємовідносин у сфері електронної торгівлі, - підписувачу та одержувачу(ам);
центр сертифікації ключів (постачальник послуг по сертифікації ключів) – означає організацію чи фізичну особу, яка видає (формує) сертифікати ключів чи надає інші послуги, пов’язані з електронними підписами, в тому числі, розповсюдження, скасування, блокування та поновлення (зняття блокування) сертифікатів ключів, консультацій та інших послуг у сфері електронного підпису, згідно положень цього Закону;
чинний сертифікат ключа - означає сертифікат ключа, термін дії якого не закінчився і який не включено до списку скасованих чи заблокованих сертифікатів ключів;
Стаття 4. Електронні торговці
1. Електронна торгівля може здійснюватися будь якими особами, суб’єктами підприємницької діяльності.
2. Здійснення діяльності в галузі електронної торгівлі не вимагає отримання будь-якої попередньої ліцензії.
3. Право здійснювати електронну торгівлю виникає з моменту державної реєстрації юридичної особи, або суб’єкта підприємницької діяльності за винятком випадків, передбачених цим законом.
Стаття 5. Принципи правового регулювання електронної торгівлі
1. Правове регулювання електронної торгівлі ґрунтується на принципах рівності учасників врегульованих цим Законом відносин, свободи договору, безперешкодного здійснення підприємницької діяльності, вільного переміщення товарів, послуг і фінансових засобів на всій території України, а також гарантіях судового захисту прав учасників електронної торгівлі.
2. Фізичні і юридичні особи вільні у встановленні своїх прав і обов'язків на основі договору й у визначенні будь-яких умов договору що не суперечать діючому законодавству.
3. Придбання і здійснення фізичними і юридичними особами прав і обов'язків в області електронної торгівлі можуть бути обмежені тільки законами України та постановами Кабінету Міністрів України.
Стаття 6. Законодавство про електронну торгівлю
1. Електронна торгівля регулюється цим законом, іншими нормативними правовими актами, а також угодами сторін.
3. Законодавство про електронну торгівлю застосовується поряд з іншим законодавством України, що регулює підприємницьку діяльність, а також охорону прав споживачів.
4. Якщо міжнародним договором України встановлені інші правила, ніж ті, які передбачені законодавством про електронну торгівлю, застосовуються правила міжнародного договору.
РОЗДІЛ 2. ПРАВОВИЙ РЕЖИМ ЕЛЕКТРОННИХ ДОКУМЕНТІВ В ЕЛЕКТРОННІЙ ТОРГІВЛІ
Стаття 7. Правове визнання електронних документів
1. Угоди в сфері електронної торгівлі не можуть бути визнані недійсними тільки на тій підставі, що вони укладені і (або) виконані шляхом обміну електронними документами, за винятком випадків, передбачених цим законом.
2. Електронний документ не може бути застосовано як оригінал:
(1) документа, який згідно законодавства може бути створений лише на паперовому носії;
(2) документа, який відповідно до законодавства може бути створений лише в одному оригінальному примірнику, крім випадків існування централізованого сховища оригіналів електронних документів;
(3) в інших випадках, передбачених цим законом.
3. У разі коли законом передбачається вимога нотаріального посвідчення цивільно-правової угоди, така угода, оформлена шляхом створення електронного документа (електронних документів), повинна бути посвідчена електронним підписом нотаріуса, у порядку встановленому законом „Про нотаріат”.
4. Формати та структура даних, що складають електронний документ, його обов`язкові реквізити визначаються вимогами цим законом, відповідними нормативними документами, а також договорами між суб`єктами електронного документообігу.
Стаття 8. Форма угоди в електронній торгівлі
1. Угода, укладена шляхом обміну електронними документами є аналогом письмової форми угоди, вимоги до якої передбачені цивільним законодавством України.
Стаття 9. Правовий статус електронного підпису
1. Електронний підпис за своїм статусом має юридичну силу власноручного підпису, при цьому:
(1) Електронний підпис не може бути визнаний недійсним лише на тій підставі, що він має електронну форму.
(2) При укладанні договорів в електронній торгівлі, особи самостійно обирають вид електронного підпису, що його будуть застосовувати, і самостійно несуть будь-які ризики, пов’язані з правовими наслідками підписання та виконання угод з використанням обраного електронного підпису.
(3) Обов’язок доказування недійсності підпису або угоди покладається на сторона яка заперечує їх дійсність.
(4) Вимоги до електронних підписів, що використовуються винятково в межах систем, заснованих на добровільних угодах осіб, укладених між визначеною кількістю учасників, визначаються у відповідних угодах між ними.
2. Електронний підпис в електронній торгівлі повинен забезпечувати:
(1) неможливість з боку підписувача відмовитися від підписаних даних (електронного документу);
(2) неможливість підроблення електронного підпису – тільки особа, яка володіє ключем підпису могла підписати ці дані;
(3) неможливість внесення будь-яких змін в підписані дані, які можуть бути не виявлені шляхом перевірки підпису;
(4) можливість будь-кому, хто має зразок підпису у вигляді сертифіката ключа, перевірити оригінальність, справжність, цілісність даних, які підписані.
3. Недійсність електронного підпису.
Електронний підпис вважається недійсним у разі, якщо:
(1) під час формування підпису використовувався ключ підпису, відповідний сертифікат ключа якого не є чинним на момент створення електронного підпису; або
(2) ключ створення підпису не відповідає ключу перевірки підпису, зазначеному у сертифікаті ключа; або
(3) порушено цілісність даних сертифікату ключа;
(4) під час створення електронного підпису використовувався недозволений ключ підпису або мало місце недозволене використання ключа підпису;
(5) у будь-якому іншому випадку, коли під час перевірки підпису було отримано негативний результат.
4. Вимоги до засобів електронного підпису
Надійний засіб створення підпису повинен забезпечувати, що:
(1) якщо він забезпечує генерацію ключа підпису, то цей ключ підпису може виникнути лише один раз, а його конфіденційність забезпечується;
(2) ключ підпису не може вилучатися з цих засобів, а підпис захищається від підроблення за допомогою використання доступних технологій;
(3) зберігання ключа підпису може бути надійно захищене власником ключа підпису від не уповноваженого використання його іншими особами.
(4) неможливо фальсифікувати електронний підпис і сфальсифікувати підписані дані.
Засіб перевірки підпису має забезпечувати, принаймні, що:
(1) дані, які надходять до засобу перевірки підпису та використовуються для його перевірки, тотожні даним, що мають бути перевірені;
(2) підпис надійно перевіряється, а результат перевірки та аутентичність підпису негайно доступні для перегляду;
(3) засіб перевірки підпису може, при необхідності, точно встановлювати зміст підписаних даних;
(4) аутентичність сертифікату ключа, що вимагається під час перевірки підпису, ретельно перевіряється; результат перевірки негайно доступний для перегляду;
(5) встановлюється, якому власнику ключа підпису належить підпис; використання псевдоніму чітко вказується.
5. Вимоги до чинного сертифіката ключа
Чинний сертифікат ключа містить такі основні обов’язкові дані:
(1) номер версії формату сертифіката;
(2) унікальний реєстраційний номер (ідентифікаційний код) сертифіката ключа, який надається центром сертифікації ключів;
(3) ідентифікатор алгоритму підпису і його параметри, які використовуються центром сертифікації ключів під час створення сертифікату ключа;
(4) найменування та реквізити центру сертифікації ключів;
(5) термін чинності сертифіката ключа - дата і час початку та закінчення терміну чинності сертифіката ключа;
(6) основні дані (реквізити) власника особистого ключа чи псевдонім, який ідентифікується, як такий; ці данні повинні відповідати даним ключа перевірки підпису власника;
(7) ключ перевірки підпису, який відповідає ключу створення підпису власника особистого ключа;
(8) посилений електронний підпис центру сертифікації ключів.
Чинний сертифікат ключа повинен містити такі додаткові дані:
(1) інформацію про обмеження використання електронного підпису, якщо таке є, щодо сфери застосування чи вартості операцій; користувач сертифікату ключа і треті сторони повинні визнавати і враховувати ці обмеження;
(2) розширення базового ідентифікаційного коду сертифіката, що забезпечує засоби ідентифікації ключа перевірки підпису відповідному ключу створення підпису. Це розширення використовується там, де центр сертифікації ключів має декілька ключів створення підпису;
(3) розширення базових реквізитів центру сертифікації ключів, який визначає кількість рівнів сертифікаційних центрів. Використовується для перевірки автентичності центру сертифікації ключів, і зокрема, обов’язково для акредитованих центрів.
Інші дані можуть вноситися у посилений сертифікат ключа на вимогу його власника чи за його згодою, якщо такі дані вимагаються технологією оброблення електронних підписів, яка використовується.
Сертифікат ключа може містити на вимогу власника ключа посилання на те, що ключ підпису уповноважується для використання іншою особою, а також професійно-орієнтовані чи інші дані про власника.
При наданні повноважень по використанню ключа підпису іншій особі, згоду цієї особи необхідно підтверджувати, згідно чинного законодавства. Дані щодо уповноваженої довіреної особи власника ключа можуть записуватись тільки після підтвердження цією особою згоди на виконання наданих їй повноважень.
Професійно-орієнтовані чи інші дані про особу повинні бути підтверджені компетентним з цих питань органом.
Інші особисті дані про довірену особу можуть записуватись в сертифікаті ключа тільки за згодою цієї особи.
5. Особливості використання електронного підпису
(1) Особливості використання електронного підпису органами державної влади, органами місцевого самоврядування, установами та організаціями державної форми власності визначаються Кабінетом Міністрів України.
(2) Особливості використання електронного підпису в банківській діяльності визначаються Національним банком України за погодженням із випробувальним органом.
(3). Будь-які вимоги щодо особливості використання електронного підпису, які будуть в майбутньому визначені уповноваженими органами, мають бути об’єктивними, прозорими, пропорційними і недискримінаційними, і стосуватись виключно специфічних характеристик при відповідному застосуванні. Такі вимоги не можуть суперечити цьому Закону та створювати перешкоди для надання транскордонних послуг громадянам.
Стаття 10. Подання електронних документів у якості судових доказів
1. Допускається подання у якості письмових доказів електронних документів, підписаних за допомогою електронного підпису.
2. Допустимість доказів не може заперечуватися тільки з тих підстав, що вони представлені у формі електронних документів.
Стаття 11. Оригінал і копії електронного документа
1. Всі екземпляри електронного документа, підписані за допомогою електронного підпису є оригіналами. Електронний документ не може мати копій в електронному виді.
2. Копії електронного документа можуть бути виготовлені (роздруковані) у виді паперового документа і завірені власноручним підписом уповноваженої особи. Копії електронних документів на паперовому носії повинні відповідати вимогам законодавства України.
Стаття 12. Збереження електронних документів
1. Якщо відповідно до закону України, інших правових актів або за угодою сторін потрібне збереження документів, записів або іншої інформації, то даним вимогам задовольняє збереження електронних документів при дотриманні наступних вимог:
(1) інформація, що міститься в них, може бути використана для наступного посилання; і
(2) електронні документи зберігають формат, у якому вони були сформовані, передані або отримані, і
(3) електронні документи зберігається в тій мері, у якій вони дозволяють визначити відправника й одержувача електронних документів, а також дату і час їхнього формування або одержання, а також
(4) при дотриманні інших умов, передбачених законодавством про електронну торгівлю або угодою сторін.
2. Вимоги до збереження документів, записів або іншої інформації, передбачені пунктом 1, не поширюються на електронні документи, сформовані винятково з метою відправлення або одержання документів, записів або іншої інформації в електронному виді.
3. З метою збереження електронних документів відповідно до пункту 1 цієї статті, юридична або фізична особа може використовувати послуги іншої юридичної або фізичної особи.
Стаття 13. Час і місце відправлення й одержання електронного документа
1. електронний документ вважається відправленим, коли він надходить в інформаційну систему, що не перебуває під контролем підписувача. Якщо інше не передбачено угодою між підписувачем і одержувачем, час одержання електронного документа визначається в такий спосіб:
(1) якщо одержувач вказує інформаційну систему для цілей одержання такого документа, даних, одержання відбувається: у момент, коли електронний документ надходить у зазначену одержувачем інформаційну систему; або
(2) якщо електронний документ відправлений в інформаційну систему, що не є зазначеною одержувачем інформаційною системою, - у момент, коли електронний документ отриманий одержувачем, а саме: у момент надходження електронного документа в інформаційну систему одержувача.
2. Якщо інше не погоджено між одержувачем і підписувачем, електронний документ вважається відправленим у місці, де звичайно перебуває підписувач, і вважається отриманим у місці, де звичайно перебуває одержувач.
РОЗДІЛ 3. УКЛАДАННЯ ДОГОВОРІВ В ЕЛЕКТРОННІЙ ТОРГІВЛІ
Стаття 14. Укладання договору шляхом обміну електронними документами
1. Договір в електронній торгівлі може бути укладений шляхом обміну електронними документами, що дозволяють чітко установити, що документ виходить від сторони за договором. Якщо при укладанні договору використовуються електронні документи, то умови даного договору і зобов'язання сторін, що випливають з них, не можуть бути оскаржені сторонами тільки з тих підстав, що він укладений шляхом обміну електронними документами.
2. Виключення з правила, передбаченого п.1, можуть бути встановлені тільки цим законом.
Стаття 15. Порядок укладання договору в електронній торгівлі
1. При укладанні договору в електронній торгівлі оферта (пропозиція укласти договір) однієї зі сторін і її акцепт (прийняття пропозиції) іншою стороною можуть бути відправлені й отримані у виді електронних документів.
2. Пропозиція укласти договір (оферта) може бути спрямовано самим оферентом, або інформаційною системою, запрограмованою оферентом або від його імені і діючою автоматично.
3. Договір визнається укладеним у момент одержання акцепту особою, що направила оферту.
До оферті й акцепту, здійснюваним у виді електронних документів, застосовуються правила що відносяться до визначенню часу і місця відправлення й одержання електронного документа.
Підтвердження одержання електронного документа не є акцептом, якщо інше не передбачено угодою між відправником і одержувачем електронного документа.
Стаття 16. Умови договору в електронній торгівлі
1. Пропозиція укласти договір (оферта), у тому числі адресована невизначеному колу осіб, повинна містити всі істотні умови договору відповідно до законодавства України, а також обов'язкові умови, передбачені даним законом.
2. Договір в електронній торгівлі повинен містити наступні обов'язкові умови:
(1) технологію (процедуру) укладання договору;
(2) можливість і порядок внесення змін при узгодженні умов договору;
(3) спосіб і порядок акцепту;
(4) спосіб збереження і пред'явлення електронних документів і умови електронного доступу до даної документації, а також умови надання паперових копій електронних документів.
РОЗДІЛ 4. ПРАВОВИЙ РЕЖИМ ЦЕНТРІВ СЕРТИФІКАЦІЇ КЛЮЧІВ, ВИПРОБУВАЛЬНИХ ТА КОНТРОЛЮЮЧОГО ОРГАНІВ
Стаття 17. Правовий статус центру сертифікації ключів
1. Центром сертифікації ключів може бути юридична особа незалежно від форми власності або фізична особа, яка є суб'єктом підприємницької діяльності, що надає послуги по сертифікації ключів і виконує вимоги цього Закону.
2. Попередній дозвіл для надання послуг по сертифікації ключів не є обов’язковим.
Стаття 18. Акредитація центрів сертифікації ключів
1. Центри сертифікації ключів можуть ініціювати чи дати згоду на добровільну акредитацію, яка здійснюється контролюючим органом.
2. Акредитовані центри сертифікації ключів отримують сертифікат якості від контролюючого органу, яким підтверджується, що центр сертифікації ключів відповідає перевіреній технічній та адміністративній надійності та має необхідний кваліфікований персонал.
3. Обов’язковою є акредитація центрів сертифікації ключів в статусі засвідчувального органу, який формує сертифікати ключів інших центрів сертифікації ключів для забезпечення взаємодії державних та інших постачальників таких послуг, у тому числі – іноземних, а також виконує функції центрів сертифікації ключів, які ліквідуються.
4. Перевірка (повторна акредитація) центрів сертифікації ключів здійснюється після значних змін надійності центру, а також через регулярні проміжки часу, згідно умов, визначених для контролюючого органу Кабінетом Міністрів України.
5. Порядок акредитації та вимоги, яким повинен відповідати акредитований центр сертифікації ключів, встановлюються Кабінетом Міністрів України.
Стаття 19. Надання послуг по сертифікації ключів
1. Реєстрація підписувачів та надання послуг електронного підпису здійснюються центром сертифікації ключів на договірних засадах.
2. Для отримання послуги із засвідчення чинності ключа перевірки підпису сертифікатом ключа, підписувач надає центру сертифікації ключів дані, згідно до вимог статті 9 цього Закону.
3. Сертифікати ключів можуть розповсюджуватися в електронній формі або в паперових копіях.
4. Особливості порядку надання послуг центром сертифікації ключів органам державної влади, органам місцевого самоврядування, установам та організаціям державної форми власності встановлюються Кабінетом Міністрів України.
Стаття 20. Загальні вимоги до центру сертифікації ключів
1. Постачальник послуг сертифікації ключів повинен відповідати визначеній адміністративній надійності - мати відповідне забезпечення, щоб виконати свої законні обов’язки щодо компенсації користувачам послуг збитків, які можуть виникнути через те, що постачальник послуг порушує вимоги цього Закону чи через невідповідність продуктів електронного підпису, які він використовує, чи через буд-які технічні відмови обслуговування, що призвели до збитків користувача. Величина та форма забезпечення визначаються Кабінетом Міністрів України.
2. Послуги по сертифікації ключів може надавати тільки суб’єкт підприємницької діяльності, який підтверджує визначену адміністративну та технічну надійність та кваліфікаційний рівень, згідно вимог цього Закону.
3. Необхідна технічна надійність та кваліфікаційний рівень центру сертифікації ключів включає, як мінімум, виконання вимог статей 21 та 22 цього Закону.
4. Необхідний кваліфікаційний рівень центру сертифікації ключів включає наявність штатного персоналу з необхідними для цієї діяльності знаннями та досвідом.
5. Під час державної реєстрації суб’єкта підприємницької діяльності, як центру сертифікації ключів, мають бути виконані вимоги щодо надійності та кваліфікаційного рівня підприємства.
6. Виконання вимог щодо надійності та кваліфікаційного рівня підприємства по сертифікації ключів має бути забезпечене на всьому проміжку часу діяльності центру сертифікації ключів. Про невідповідність цим вимогам підприємство по наданню послуг сертифікації ключів повинне негайно сповістити контролюючий орган.
7. Засвідчувальний орган згідно до свого статусу повинен мати підвищений рівень адміністративної та технічної надійності для виконання своїх обов’язків та підтримки діяльності пов’язаних з ним інших центрів сертифікації ключів.
8. Порядок взаємодії між засвідчувальним органом та іншими центрами сертифікації ключів визначається згідно до вимог цього Закону та має бути відображений у договорах між ними.
Стаття 21. Права та обов'язки центру сертифікації ключів
1. Центр сертифікації ключів має право:
(1) надавати послуги електронного підпису та обслуговувати сертифікати ключів;
(2) отримувати та перевіряти інформацію, необхідну для реєстрації підписувача і формування сертифікату ключа, безпосередньо у власника ключа підпису чи його уповноваженого представника.
2. Центр сертифікації ключів зобов’язаний:
(1) використовувати для надання послуг надійні засоби електронного підпису;
(2) вживати заходів для забезпечення безпеки інформації під час сертифікації ключів та зберігання сертифікатів ключів;
(3) встановлювати під час формування сертифікату ключа належність ключа підпису та відповідного особистого ключа підписувачу;
(4) забезпечувати захист персональних даних щодо підписувача згідно до законодавства України;
(5) своєчасно скасовувати, блокувати та поновлювати сертифікати ключів у випадках, передбачених цим Законом;
(6) перевіряти законність звернень про скасування і блокування сертифікатів ключів та зберігати документи, на підставі яких були скасовані або блоковані сертифікати ключів;
(7) цілодобово приймати заяви про скасування, блокування та поновлення сертифікатів ключів;
(8) вести електронні реєстри чинних, скасованих і блокованих сертифікатів ключів та документацію, перелік якої визначається контролюючим органом і затверджується Кабінетом Міністрів України;
(9) забезпечувати цілодобово доступ користувачів до сертифікатів ключів та відповідних електронних реєстрів через загальнодоступні телекомунікаційні канали;
(10) забезпечувати зберігання сформованих сертифікатів ключів протягом терміну, який передбачено законодавством України для зберігання відповідних паперових документів;
(11) надавати консультації з питань, пов’язаних з електронним підписом;
(12) до того, як вступати в договірні відносини з особою, яка прагне отримати сертифікат ключа, що засвідчує її електронний підпис, повідомити таку особу через надійні засоби зв’язку про точні терміни та умови використання сертифікату ключа, включаючи будь-які обмеження його використання, існування системи добровільної акредитації та процедури подання скарг і врегулювання спорів. Така інформація, що може надаватись в електронному вигляді, повинна бути викладена державною мовою. Відповідні частини цієї інформації також мають бути доступними на запит третіх сторін, які покладаються на сертифікат ключа;
(13) вжити заходів щодо виключення можливості фальсифікації та викривлення точного часу під час надання послуг фіксування часу;
(14) надійно ідентифікувати осіб, які звертаються щодо отримання сертифікату ключа;
(15) обслуговувати сертифікати ключів лише за згодою їх власників;
(16) на вимогу заявника-підписувача - надати йому псевдонім;
(17) надати заявнику-підписувачу інформацію щодо заходів, які вимагаються для того, щоб забезпечити захист електронного підпису та надійну його перевірку;
(18) попередити заявника-підписувача, що електронний підпис, згідно законодавства України, прирівнюється до власноручного підпису;
(19) надати заявнику-підписувачу письмову інструкцію розроблену відповідно до вимог цього Закону, згоду з якою заявник повинен підтвердити підписом;
(20) забезпечувати функціонування швидкого та безпечного надання довідкових послуг та невідкладне й безпечне анулювання послуг;
(21) забезпечувати чітке визначення дати й часу видачі і анулювання сертифікату ключа;
(22) забезпечувати надання заявнику-підписувачу підтвердження своєї надійності та кваліфікаційного рівня, згідно вимог статті 13 цього Закону.
3. Центрам сертифікації ключів забороняється вимагати від заявника-підписувача придбання будь-яких товарів чи послуг від центру сертифікації ключів або від спорідненої чи пов'язаної особи центру, як обов'язкову умову надання послуг.
4. Центри сертифікації ключів повинні :
(1) демонструвати надійність, необхідну для постачання послуг по сертифікації;
(2) наймати штат осіб, що мають спеціальні знання, досвід та кваліфікацію, необхідну для надання послуг, зокрема, компетентних осіб на рівні управління, експертизи у технології електронних підписів та обізнаних із правилами безпеки; вони також повинні застосовувати адекватні адміністративні правила та процедури, і такі, що відповідають визнаним стандартам.
5. Зберігання ключа підпису центру сертифікації ключів інакше, ніж з використанням надійних засобів підпису, забороняється.
6. Зберігання особистих ключів підписувачів та ознайомлення з ними в центрі сертифікації ключів забороняється.
Стаття 22. Зобов'язання щодо збереження персональних даних
1. Інформація щодо власника ключа підпису чи його довіреної особи, яка стала відомою центру сертифікації ключів у процесі обслуговування клієнта та взаємовідносин з ним чи третім особам при наданні послуг і розголошення якої може завдати матеріальної чи моральної шкоди клієнту, є персональними даними.
2. Персональними даними, зокрема, є:
(1) інші дані про особу, які не є обов’язковими щодо сертифікату ключа і згоду на розголошення яких особа не надавала;
(2) операції, які були проведені із запитом сертифікату ключа на користь чи за дорученням власника ключа;
(3) інформація про системи захисту електронної інформації центру сертифікації ключів та його клієнтів;
(4) ключі підпису та коди, що використовуються центром сертифікації ключів чи його клієнтом для захисту електронної інформації.
3. Постачальник послуг по сертифікації ключів може отримувати інформацію щодо особи виключно безпосередньо від суб’єкта інформації або після чіткої згоди суб’єкта інформації і виключно тому, що це необхідно для цілей видачі та збереження в силі сертифікату ключа. Інформація не може збиратись чи оброблятись для будь-яких інших цілей без чіткої згоди на те суб’єкта інформації.
4. Центри сертифікації ключів зобов'язані забезпечити збереження персональних даних шляхом:
(1) обмеження кола осіб, що мають доступ до персональних даних;
(2) організації спеціального діловодства з документами, що містять персональні дані;
(3) застосування технічних засобів для запобігання несанкціонованому доступу до електронних та інших носіїв інформації;
(4) застосування застережень щодо збереження персональних даних та відповідальності за їх розголошення у договорах і угодах між центром сертифікації ключів і його клієнтом.
5. Службовці центру сертифікації ключів під час призначення на посаду підписують зобов'язання щодо збереження персональних даних. Керівники та службовці центрів сертифікації ключів зобов'язані не розголошувати та не використовувати з вигодою чи на користь для себе, чи для третіх осіб інформацію, яка містить персональні дані і стала відома їм при виконанні своїх службових обов'язків.
6. Приватні особи та організації, які при виконанні своїх функцій або наданні послуг центру сертифікації ключів безпосередньо чи опосередковано отримали персональні дані, зобов'язані не розголошувати цю інформацію і не використовувати її на свою користь чи на користь третіх осіб.
7. У разі заподіяння центру сертифікації ключів чи його клієнту збитків шляхом витоку інформації про центри сертифікації ключів та їх клієнтів з органів, які уповноважені здійснювати контрольні функції, збитки відшкодовуються цими органами.
8. Інформація щодо юридичних та фізичних осіб, яка містить персональні дані, розкривається центрами сертифікації ключів:
(1) на письмовий запит або з письмового дозволу власника такої інформації;
(2) на письмову вимогу суду або за рішенням суду;
(3) органам прокуратури України, Служби безпеки України, Міністерства внутрішніх справ України – виключно в випадках порушення кримінальної справи на їх письмову вимогу стосовно операцій за конкретний проміжок часу за сертифікатами ключів конкретної юридичної або фізичної особи.
9. Обмеження стосовно отримання інформації, що містить персональні дані, передбачені цією статтею, не поширюються на службовців контролюючого органу або уповноважених ним осіб, які в межах своїх повноважень здійснюють функції контролю.
10. Особи, винні в порушенні порядку розкриття та використання персональної інформації, несуть відповідальність згідно із законами України.
Стаття 23. Скасування, блокування та поновлення сертифікату ключа
1. Центр сертифікації ключів негайно скасовує сформований ним сертифікат ключа у разі:
(1) закінчення терміну чинності сертифікату ключа;
(2) подання заяви власника ключа підпису або його представника;
(3) припинення діяльності юридичної особи - власника ключа підпису;
(4) смерті фізичної особи - власника ключа підпису або оголошення його померлим за рішенням суду;
(5) визнання власника ключа підпису недієздатним за рішенням суду;
(6) надання власником ключа підпису недостовірних даних;
(7) компрометації ключа підпису.
2. Центр сертифікації ключів негайно блокує сертифікат ключа у разі:
(1) заяви власника ключа підпису або його уповноваженого представника;
(2) вимоги суду, прокуратури, слідства з метою запобігання злочину;
(3) отримання неоднозначних даних про компрометацію.
3. Скасування і блокування сертифіката ключа набирає чинності з моменту внесення до реєстру скасованих і блокованих сертифікатів ключів відповідних даних із зазначенням дати та часу здійснення цієї процедури.
4. Центр сертифікації ключів негайно повідомляє про скасування або блокування сертифіката ключа його власника та його уповноваженого представника.
5. Блокований сертифікат ключа поновлюється:
(1) за заявою власника ключа або його представника;
(2) у разі встановлення недостовірності даних про компрометацію особистого ключа підпису і за згодою його власника.
6. Технічні вимоги до скасування, блокування та поновлення сертифікатів ключів визначаються контролюючим органом.
Стаття 24. Припинення діяльності центру сертифікації ключів
1. Центр сертифікації ключів припиняє свою діяльність відповідно до законодавства України.
2. Для припинення діяльності центр сертифікації ключів повідомляє про свій намір контролюючий орган, засвідчувальний орган та підписувачів за три місяці, якщо інші строки не визначено законодавством України.
3. До припинення діяльності центр сертифікації ключів передає сертифікати ключів, відповідні реєстри сертифікатів ключів та документовану інформацію, що підлягає обов’язковій передачі, іншому центру сертифікації ключів за його згодою, а у разі відсутності такої згоди – контролюючому органу чи визначеному ним засвідчувальному органу.
4. Порядок передачі сертифікатів ключів, відповідних реєстрів сертифікатів ключів та документованої інформації, що підлягають обов’язковій передачі, визначається контролюючим органом.
Стаття 25. Відповідальність центру сертифікації ключів
1. Постачальник послуг по сертифікації ключів несе відповідальність за порушення вимог цього Закону чи відповідних постанов Кабінету Міністрів, чи відмову в наданні послуг з інших технічних причин, що призвело до нанесення збитків клієнтам чи третім особам, які вони несуть від того, що довіряють даним в сертифікатах ключів чи в послугах фіксування часу.
2. Постачальник послуг по сертифікації ключів, видаючи сертифікат ключа в якості чинного сертифікату ключа чи гарантуючи такий сертифікат ключа, несе відповідальність за шкоду, заподіяну будь-якій юридичній чи фізичній особі, яка вмотивовано покладалася на цей сертифікат:
(1) стосовно точності всієї інформації на час видачі, яка міститься у чинному сертифікаті ключа і стосовно того факту, що сертифікат ключа містить всі деталі, необхідні для чинного сертифікату ключа;
(2) для впевненості в тому, що на час видачі сертифікату ключа власник ключа підпису володів ключем підпису, який відповідає ключу перевірки підпису в сертифікаті ключа.
3. Постачальник послуг по сертифікації ключів, який видавав сертифікат ключа в якості чинного сертифікату ключа, несе відповідальність за шкоду, заподіяну будь-якій юридичній чи фізичній особі, яка вмотивовано покладалась на сертифікат ключа, яка виникла внаслідок неспроможності зареєструвати анулювання сертифікату ключа.
4. Зобов’язання центру сертифікації ключів щодо компенсації збитків не виникає в разі, якщо:
(1) чинний сертифікат ключа використовувався з перевищенням обмежень, передбачених в сертифікаті ключа;
(2) користувач сертифікату ключа чи третя особа знала повідомлення про помилку чи повинна була знати;
(3) центр сертифікації ключів діяв застережливо і з виконанням вимог цього Закону.
5. Якщо сертифікат ключа обмежує використання ключа підпису визначеними сферою застосування чи сумою операції, то зобов’язання щодо компенсації збитків не повинні перевищувати ці встановлені обмеження.
6. Центр сертифікації ключів несе відповідальність за треті особи, з якими він має відносини щодо надання послуг по сертифікації, а також за визнані ним іноземні сертифікати ключів.
Статтю 26. Права та обов'язки підписувачів у відносинах з сертифікаційними центрами
1. Підписувач має право:
(1) вимагати надання центром сертифікації підтвердження його надійності та кваліфікаційного рівня, згідно вимог статті 13 цього Закону.
(2) вимагати скасування, блокування або поновлення свого сертифіката ключа;
(3) оскаржити дії чи бездіяльність центру сертифікації ключів у судовому порядку;
(4) доступу до інформації щодо діяльності центру сертифікації ключів, який зобов'язаний на вимогу власника ключа, клієнта центру сертифікації ключа, надати таку інформацію:
(а) відомості, які підлягають обов'язковій публікації, про фінансові показники діяльності центру та його економічний стан;
(б) перелік керівників центру сертифікації ключів та його відокремлених підрозділів, а також фізичних та юридичних осіб, які мають істотну участь у підприємстві;
(в) перелік послуг, що надаються центром сертифікації ключів;
(г) ціну послуг;
(д) іншу інформацію та консультації з питань надання послуг сертифікації ключів.
2. Підписувач зобов'язаний:
(1) зберігати особистий ключ підпису у таємниці;
(2) своєчасно надавати центру сертифікації ключів інформацію про зміну даних, відображених в сертифікаті ключа.
(3) виконувати письмову інструкцію, розроблену відповідно до вимог цього Закону, надану йому центром сертифікації ключів, згоду з якою власник ключа повинен підтвердити окремим підписом.
Стаття 27. Випробувальний орган
1. Функції випробувального органу здійснює державний орган, спеціально уповноважений Кабінетом Міністрів України.
2. Якщо випробувальний орган, призначений згідно до цього Закону, є частиною (підрозділом) організації, яка виконує функції інші, ніж оцінка надійних засобів електронного підпису на відповідність вимогам безпеки, то цей підрозділ повинен бути чітко визначений в межах організації.
3. Випробувальний орган і його штат не повинні приймати участь в будь-яких діях, які можуть входити в протиріччя з незалежністю їх висновків і цілісністю їх задач. Зокрема, випробувальний орган повинен бути незалежним від сторін, засоби яких підлягають випробуванню, в тому числі персонал випробувального органу:
(1) не повинен приймати участь в проектних, виробничих, маркетингових роботах, чи виконувати роботи з встановлення чи обслуговування засобів електронного підпису;
(2) не повинен приймати участь в службі акредитації.
Вимоги цього пункту не заважають можливості обміну технічною інформацією між виробником і випробувальним органом.
4. На випробувальний орган покладається організація та проведення випробувань і сертифікація засобів електронного підпису на відповідність національним чи міжнародним стандартам безпеки електронної інформації з метою надання сертифіката відповідності (безпеки), в тому числі:
(1) в технічних засобах інформаційних систем чи їх компонентів;
(2) в програмних засобах інформаційних систем чи їх компонентів.
5. Випробувальний орган повинен сприяти забезпеченню безпеки в інформаційних технологіях шляхом:
(1) дослідження потенційних загроз безпеки інформаційних технологій, а також розроблення відповідних заходів попередження загроз;
(2) розроблення критеріїв, методів і інструментів для тестування і оцінки надійності інформаційних систем чи їх компонентів;
(3) здійснення перевірки (тестування) і оцінки надійності інформаційних систем чи компонентів та видачі сертифікатів безпеки;
(4) надання дозволу на використання інформаційних систем чи компонентів, які повинні використовуватись для оброблення інформації, що є власністю держави, або інформації, захист якої гарантується державою.
6. Сертифікат безпеки видається, якщо:
(1) Технічна інформаційна система чи її компонент відповідають вимогам державних стандартів чи встановленим критеріям і міжнародним стандартам; і
(2) Сертифікати інших визнаних випробувальних органів в цій галузі визнаються в Україні. Перелік таких випробувальних органів затверджується Кабінетом Міністрів України.
7. Випробувальний орган повинен бути прозорим в його методах оцінки і повинен публікувати доречну інформацію відносно цих методів. Всі зацікавлені сторони повинні мати доступ до послуг випробувального органу.
8. Випробувальний орган несе відповідальність за якісне виконання функцій з оцінки. Він повинен мати адекватне забезпечення, щоб компенсувати шкоду, заподіяну будь-якій юридичній чи фізичній особі, яка вмотивовано покладалась на експертні висновки та сертифікати безпеки, які видані цим випробувальним органом.
9. Випробувальний орган має право передати свої повноваження, чи їх частину, випробувальним центрам, які повинні гарантувати і демонструвати компетентність щодо виконання таких функцій. Випробувальний орган несе повну відповідальність за роботу випробувальних центрів. Остаточне рішення щодо оцінки і надання сертифікатів безпеки залишається за випробувальним органом.
10. Випробувальний орган розробляє загальні вимоги до забезпечення безпеки інформації в сфері використання електронного підпису для органів державної влади, органів місцевого самоврядування, установ та організацій державної форми власності.
11. Випробувальний орган надає рекомендації щодо забезпечення безпеки інформації у сфері використання електронного підпису для підприємств і організацій недержавної форми власності та фізичних осіб.
Стаття 28. Контролюючий орган
1. Функції контролюючого органу здійснює орган, спеціально уповноважений Кабінетом Міністрів України.
2. Контролюючий орган перевіряє дотримання вимог цього Закону центрами сертифікації ключів.
3. У разі невиконання або неналежного виконання обов’язків та виявлення порушень вимог, установлених для центру сертифікації ключів, контролюючий орган негайно вживає заходи, передбачені законодавством.
4. Контролюючий орган здійснює акредитування центрів сертифікації ключів та надає необхідні для їх діяльності кваліфікаційні свідоцтва щодо відповідності вимогам цього Закону (сертифікат відповідності).
5. Контролюючий орган здійснює функції акредитування на підставі Інструкції про надання сертифікату відповідності акредитованим центрам сертифікації ключів.
6. Контролюючий орган має право видати розпорядження щодо вилучення (скасування) сертифікату відповідності акредитованого центру сертифікації ключів у разі, якщо акредитований центр сертифікації ключів:
(1) припиняє свою діяльність;
(2) не виконує вимоги цього Закону.
7. Контролюючий орган має право заборонити центру сертифікації ключів надавати послуги по сертифікації ключів тимчасово чи повністю, якщо центр:
(1) не відповідає вимогам надійності, згідно цього Закону;
(2) не відповідає вимогам щодо кваліфікації персоналу.
8. Сертифікати, випущені центром сертифікації до його заборони чи припинення діяльності, згідно п.п. 8, 9 цієї статті, залишаються дійсними.
9. Контролюючий орган має право заблокувати сертифікат ключа, якщо встановлено факт підроблення сертифікату ключа, чи виявлено недоліки захисту надійних засобів підпису центру сертифікації, які допускають непомітне підроблення чи непомітне перекручення кваліфікованого електронного підпису центру сертифікації ключів.
10. Контролюючий орган здійснює контроль:
(1) Найменування, адреси і комунікаційного підключення центрів сертифікації ключів;
(2) За наданням центрам сертифікації ключів сертифіката ключа засвідчувального органу, його блокування чи скасування з інших причин, ніж зазначених у п.8 цієї статті.
11. Контролюючий орган забезпечує в будь-який час та відкрито доступну, актуальну інформацію щодо акредитованих центрів сертифікації ключів, згідно п.п. 8, 9 цієї статті. Ця інформація повинна надаватись способом, що дозволяє отримувачу перевірити її достовірність та цілісність.
12. Контролюючий орган може делегувати частину своїх повноважень іншій організації, установі. Делегування таких повноважень не знімає відповідальності з контролюючого органу за якісне виконання функцій, визначених цим Законом.
РОЗДІЛ 5. ІНФОРМАЦІЙНІ ПОСЕРЕДНИКИ
Стаття 29. Послуги інформаційних посередників
1. Учасники електронної торгівлі з метою обміну електронними документами, а також збереження електронних документів можуть звертатися до послуг інформаційних посередників. Послуги інформаційних посередників полягають в передачі електронних документів по телекомунікаційній мережі, а також наданні учасникам електронної торгівлі доступу до телекомунікаційної мережі. Передача електронних документів і надання доступу до телекомунікаційної мережі, передбачені в п.1 цієї статті, включають автоматичне і короткочасне збереження переданих електронних документів з винятковою метою здійснити їхню передачу по телекомунікаційній мережі.
2. Інформаційний посередник не несе юридичної відповідальності, пов'язаної зі змістом переданого ним електронного документа при наступних умовах:
(1) інформаційний посередник не є підписувачем електронного документа;
(2) інформаційний посередник самостійно не визначав одержувача електронного документа;
(3) інформаційний посередник не формував зміст електронного документа.
3. Інформаційний посередник не несе відповідальності за збереження електронних документів при автоматичному і короткочасному збереженні даних документів з метою їхньої передачі, здійснюваної за доручення учасника електронної торгівлі.
4. Інформаційний посередник не зобов'язаний контролювати і перевіряти законність переданих і збережених електронних документів за винятком випадків, передбачених законодавством України.
Стаття 30. Зобов'язання інформаційних посередників
1. Інформаційний посередник повинен зберігати таємницю електронних повідомлень і документів, маршрути сполучень, типи і протоколи сполучень та іншу інформацію щодо змісту, як самих повідомлень і документів, так і дій своїх клієнтів або абонентів.
2. Будь-який вид перехоплення чи контролю над електронними документами та повідомленнями іншими суб’єктами, відмінними від відправників та одержувачів, не допускається.
3. Зміст електронного документу чи повідомлення, запису та протоколи комунікаційних сполучень щодо цього документу/повідомлення розкриваються та надаються інформаційним посередником:
(1) клієнтам або абонентам, чи їх уповноваженим представникам, якими це повідомлення створене чи яким воно передається або призначається;
(2) судам, органам прокуратури, службі безпеки, внутрішніх справ України у справах, що знаходяться в їх провадженні;
(3) іншим особам, у разі наявності письмового дозволу абонента або клієнта.
4. Будь-яка особа, яка отримала, як зазначено у п.4 цієї статті електронні записи чи данні, або протоколи комунікаційних сполучень щодо електронного документу/повідомлення може розкрити цю інформацію виключно суду, органам прокуратури, служби безпеки, внутрішніх справ України на підставах, що вказані у п.3 цієї статті.
5. Інформація щодо підписувача, одержувача, угоди між ними, тощо, яка стала відомою інформаційному посереднику у процесі обслуговування останніх та взаємовідносин з ними чи третім особам при наданні послуг і розголошення якої може завдати матеріальної чи моральної шкоди підписувачу або одержувачу, є персональними даними.
6. Інформаційний посередник може отримувати та відправляти інформацію зазначену в п.5 цієї статті виключно безпосередньо від суб’єкта інформації або після чіткої згоди суб’єкта інформації і виключно з метою обміну електронними документами між підписувачем та одержувачем. Інформація не може збиратись чи оброблятись для будь-яких інших цілей без чіткої згоди на те суб’єкта інформації.
7. Інформаційний посередник зобов'язаний забезпечити збереження персональних даних шляхом:
(1) обмеження кола осіб, що мають доступ до персональних даних;
(2) застосування технічних засобів для запобігання несанкціонованому доступу до електронних та інших носіїв інформації;
8. Службовці інформаційного посередника під час призначення на посаду підписують зобов'язання щодо збереження персональних даних. І мають не розголошувати та не використовувати з вигодою чи на користь для себе, чи для третіх осіб інформацію, яка містить персональні дані.
5. Інформація, яка містить персональні дані, розкривається інформаційними посередниками:
(1) на письмовий запит або з письмового дозволу власника такої інформації;
(2) на письмову вимогу суду або за рішенням суду;
(3) органам прокуратури України, Служби безпеки України, Міністерства внутрішніх справ України – виключно в випадках порушення кримінальної справи на їх письмову вимогу.
6. Особи, винні в порушенні порядку розкриття та використання персональної інформації, несуть відповідальність згідно із законами України.
Стаття 31. Функції Кабінету Міністрів України
1. Для здійснення вимог цього Закону Кабінет Міністрів України уповноважується щодо визначення порядку виконання таких функцій:
(1) оформлення зобов’язань постачальників послуг по сертифікації ключів під час реєстрації підприємства, а також під час ліквідації підприємства;
(2) затвердження порядку акредитування центрів сертифікації ключів;
(3) визначення форми та розміру забезпечення надійності центру сертифікації ключів, згідно цього Закону;
(4) призначення випробувального органу, уповноваженого за організацію та проведення випробувань і сертифікацію безпеки засобів електронного підпису на відповідність національним та/чи міжнародним стандартам з метою надання сертифікату відповідності (безпеки); затвердження порядку роботи та контролю, а також регламентування діяльності і організацію контролю за діяльністю такого уповноваженого органу;
(5) визнання зарубіжних уповноважених випробувальних органів щодо надійних засобів електронного підпису; затвердження методу та порядку встановлення рівноцінної надійності іноземних сертифікатів ключів, електронних підписів та засобів електронного підпису.
Стаття 32. Визнання іноземних сертифікатів ключів
Іноземні сертифікати ключів, засвідчені у відповідності до законодавства тих держав, де вони видані, визнаються в Україні, згідно норм і принципів міжнародного права.
Стаття 33. Прикінцеві положення
1. Цей Закон набирає чинності через шість місяців з дня його опублікування.
2. Кабінету Міністрів України у шестимісячний строк:
(1) визначити випробувальний та контролюючий органи;
(2) затвердити перелік норм та стандартів щодо електронного підпису;
(3) прийняти інші нормативно-правові акти, передбачені цим Законом;
3. Національному банку України у шестимісячний строк привести свої нормативно-правові акти у відповідність з цим Законом.
4. Кабінету Міністрів України до 1 січня 2004 року забезпечити:
(1) використання в Україні європейських та міжнародних стандартів інформаційної безпеки;
(2) затвердити процедуру визнання сертифікатів безпеки та відповідно перелік випробувальних центрів інших держав, сертифікати безпеки яких визнаються в Україні.
5. Кабінету Міністрів України до 1 січня 2005 року забезпечити організацію робіт випробувального органу на рівні визнаних європейських випробувальних органів.
Відповіді
2003.07.02 | Serhiy Hrysch
Аналіз проекту Закону України „Про електронну торгівлю”
У законі описана технологія ел торгівлі, яка описана на сайті компанії ІНТ (http://www.int.kiev.ua/technol/pay_by_card.html). Вона передбачає такі жорсткі відносини "торговець/покупець", що робить такі відносини невигідними.
Така система НЕ застосовується Візою і Мастеркардом для широкого кола користувачів. Вона передбачає, що всі покуці реєструються в єдиний або розширений реєстр (пред"явивши паспорт і інші посвідчення), і кожному видається буквально на дискеті його або її парний електронний ключ, який "може бути генерований тільки один раз".
Коли клієнт робить покупку/підписує електронний документ, він або вона завантажують свій парний ключ на сервер та/або прикріпляє його до документа, що підписується (як??) Тільки з застосуванням такої системи український уряд буде захищати ел комерцію.
Таким чином, контракти підписані електронно по процедурам Візи і Мастеркарду, а також інших подібних платіжних систем, не будуть захищатися державою.
(При здійсненні ел транзакції з використанням Візи/Мастеркарду, ел сертифікат (не ключ!) тільки підтрверджує аутентичність сервера на якому здійснюється транзакція. Автентифікація клієнта здійснюється тільки за рахунок трейсінгу ІР клієнта, і все!)
ІНТ є представником і інтегратором ел комерції для Авалю. Іхня система, "СІК" (яка дуже подібна до тої, що описана в законі), НЕ ПРАЦЮЄ на жодному сайті. Всі їх клієнти (близько десятка) оперують через Аваль у відповідності до вимог Візи і Мастеркарду (http://www.int-commerce.com/intc/pl.html), а не системи "СІК".
============================
ПОСТАТЕЙНІ КОМЕНТАРІ
============================
"контролюючий орган - державний орган, уповноважений центральним органом виконавчої влади виконувати контроль відповідності прав і обов’язків акредитованих постачальників послуг по сертифікації ключів, а також здійснювати безпосередньо акредитацію центрів сертифікації ключів."
*** Проект закону передбачає, що контроль сертифікації ключів в Україні буде здійснюватися виключно державним органом, у той час як в США і інших цивілізованих країнах з досвідом ел комерції такі функції виконують приватні компанії, яким довіряє ринок. Додання нового "органу" це збільшення непотрібної бюрократії.
Стаття 4. Електронні торговці
3. Право здійснювати електронну торгівлю виникає з моменту державної реєстрації юридичної особи, або суб’єкта підприємницької діяльності за винятком випадків, передбачених цим законом.
*** Проект закону залишає фізичних осіб без права провадити ел торгівлю, хоча фізична особа, згідно інших законів, може провадити торгівлю без "державної реєстрації".(наприклад, фермери на ринках) Тобто, приватні особи без прописки або незареєстровані приватні підприємці позбавляються права займатися ел бізнесом згідно цього Закону.
Стаття 5. Принципи правового регулювання електронної торгівлі
3. Придбання і здійснення фізичними і юридичними особами прав і обов'язків в області електронної торгівлі можуть бути обмежені тільки законами України та постановами Кабінету Міністрів України.
*** Тут, право на підприємницьку діяльність/працю може бути обмежене не тільки законом, але і "постановами Кабінету Міністрів".
Стаття 7. Правове визнання електронних документів
3. У разі коли законом передбачається вимога нотаріального посвідчення цивільно-правової угоди, така угода, оформлена шляхом створення електронного документа (електронних документів), повинна бути посвідчена електронним підписом нотаріуса, у порядку встановленому законом „Про нотаріат”.
*** Електронний нотаріат? Такого не існує в практиці.
4. Вимоги до засобів електронного підпису
Надійний засіб створення підпису повинен забезпечувати, що:
(1) якщо він забезпечує генерацію ключа підпису, то цей ключ підпису може виникнути лише один раз, а його конфіденційність забезпечується;
*** Практика сертифікації ключів є можливість повторної генерації ключа по запиту клієнта або судових "органів". Якщо ключ буде генруватися один раз, то це створить можливість для корупції сертифікуючих/аутентифікуючих "органів"/компаній при виникненні спорів. ("а ми ваш ключ випадково стерли... і не можемо відновити")
4. Вимоги до засобів електронного підпису
(4) неможливо фальсифікувати електронний підпис і сфальсифікувати підписані дані.
*** Не існує у світі таких засобів, які б гарантували неможливість фальсифікації ел підпису, тим більше ед даних.
Стаття 15. Порядок укладання договору в електронній торгівлі
2. Пропозиція укласти договір (оферта) може бути спрямовано самим оферентом, або інформаційною системою, запрограмованою оферентом або від його імені і діючою автоматично.
*** Новий термін, "оферент",
Стаття 16. Умови договору в електронній торгівлі
1. Пропозиція укласти договір (оферта), у тому числі адресована невизначеному колу осіб, повинна містити всі істотні умови договору відповідно до законодавства України, а також обов'язкові умови, передбачені даним законом.
*** Тобто, при продажу іграшки в Інтернеті, продавець має викласти всю душу покупцеві, включаючи повні імена, адресу, всі банківські реквізити (ось де погуляють фінансові злочинці!), номер державної реєстрації, і номер платника податку. Тобто, продавець має викласти всю інформацію про себе будь якому віртуальному покупцю, який якщо виявиться крадієм, може за хвилини спустошити банківські рахунки продавця.
Стаття 25. Відповідальність центру сертифікації ключів
3. Постачальник послуг по сертифікації ключів, який видавав сертифікат ключа в якості чинного сертифікату ключа, несе відповідальність за шкоду, заподіяну будь-якій юридичній чи фізичній особі, яка вмотивовано покладалась на сертифікат ключа, яка виникла внаслідок неспроможності зареєструвати анулювання сертифікату ключа.
*** Якщо користувач ключа втратив зв"язок з Інтернетом і не може аутентифікувати ключ, то винний центр сертифікації ключів? Виходить, так.
Стаття 29. Послуги інформаційних посередників
3. Інформаційний посередник не несе відповідальності за збереження електронних документів при автоматичному і короткочасному збереженні даних документів з метою їхньої передачі, здійснюваної за доручення учасника електронної торгівлі.
*** Провайдери не несуть відповідальність за збереження ключів і іншой інформації! Це означає що за крадіжку ключа або будь якої іншої приватної чи комерційної інформації провайдери відповідальності *не несуть*! Це суперечить такому:
"Стаття 30. Зобов'язання інформаційних посередників
1. Інформаційний посередник повинен зберігати таємницю електронних повідомлень і документів, маршрути сполучень, типи і протоколи сполучень та іншу інформацію щодо змісту, як самих повідомлень і документів, так і дій своїх клієнтів або абонентів."
2003.07.04 | Олег Целуйко
Re: Аналіз проекту Закону України „Про електронну торгівлю”
Пане Сергію,Дякуємо за запропонований проект та коментарі. Попередньо продивившись деякі їхні положення, перш за все зловив себе на думці, що їх однозначно необхідно співставляти з положеннями Законів "Про електронний підпис" http://rada.gov.ua/laws/pravo/new/cgi-bin/search.cgi
та "Електронні документи та електронний документообіг" http://rada.gov.ua/laws/pravo/new/cgi-bin/search.cgi.
Обидва не набули допоки чинності, проте є вже Законами.
" Про підпис.." ще на стадії проекту я неодноразово аналізував і доволі знайомий із нормами подібних актів в міжнародній практиці.
Закон має набути чинності 01.01.04 р., і так або інакше положення висвітленого Вами Законопроекту мають відповідати положенням цього Закону, який я не сказав би, що сформульовано ідеальним чином. Якщо Вам цікаво більш детально, то прошу (але водночас просив би не сприймати це як персональний PR)
http://www.ucipr.kiev.ua/modules.php?op=modload&name=News&file=article&sid=3084&mode=thread&order=0&thold=0
Так от,в Законі "Про електронний цифровий підпис" цілком конкретно передбачено створення системи сертифікаційних центрів і т. п. Чи стосується це центрів, передбачених Законопроектом, в перелік обов’язків яких входить збереження конфіденційності інформації щодо ключів гадаю, що так. Водночас, Законом передбачено можливість створення і не державних підприємств, які б могли надавати сертифікаційні послуги.
Щодо накладання зобов’язань на провайдерів (посередників. як зазначено в Проекті) теж перейматися питаннями забезпечення приватності...Стаття 30 дійсно має більш загальний предмет регулювання і встановлює правило загального характеру, стаття ж 29 встановлює невиправдане виключення з загального правила, власне на практиці воно може зводитись на нівець. Йдеться про передбачену КУ і ЄКПЛ таємницю кореспонденції. Вважаю, що втручання в цей режим, а власне вилучення інформації з каналів зв’язку повинно відбуватися лише за санкцією суду.
З повагою,
Олег Целуйко
2003.07.04 | Serhiy Hrysch
Обов"язково перевірю
Подивимося на запропоновану систему ключів з точки зору користувачів (торговців, гостей сайтів...)Запропонована система дуже нагадує, і дещо копіює системи PGP, які є основою безпечної комунікації, наприклад, між майданівцями.
"Сертифікати SSL" це інша річ. Це те що застосовується у США і Європі для ел торгівлі. SSL certificate просто говорить користувачеві, "так, це той самий сервер, на який ви хотіли зайти. Я генерую тимчасовий ключ для цієї сесії, і створюю тунель між вашим компом і сервером". І все. Автентифікації юзера немає. SSL досить легко ламається хакерами, але оскільки ключі тимчасові (часто змінюються) і що є дуже дешевим, це саме те рішення яке дозволило США бути лідером у ел комерції.
Ясна річ, є й інші цілі створення безпечних сіток. Наприклад, в урядових установах, де є потреба захистити sensitive інформацію, мають 100% буди системи, що підтримують PGPподібні шифровані канали. Я не розумію, навіщо покупцям в інтернет магазині користуватися персональним шифрованим каналом.
Подивлюсь.