Директива 1999/93/EC Европейского парламента и Совета от 13 декабря 1999 г. о системе Сообщества для электронных подписей.

ДИРЕКТИВА 1999/93/EC ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА

от 13 декабря 1999 г.

о системе Сообщества для электронных подписей

ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ ЕВРОПЕЙСКОГО СОЮЗА,

Принимая во внимание Договор о создании Европейского Сообщества и, в частности, его статьи 47(2), 55 и 95,

Принимая во внимание предложение Комиссии(1),

Принимая во внимание мнение Экономического и социального комитета(2),

Принимая во внимание мнение Комитета регионов(3),

Действуя в порядке, предусмотренном статьей 251 Договора(4),

Тогда как:

(1) 16 апреля 1997 г. Комиссия представила Европейскому парламенту, Совету, Экономическому и социальному комитету и Комитету регионов Сообщение о Европейской инициативе в области электронной коммерции;

(2) 8 октября 1997 г. Комиссия представила Европейскому парламенту, Совету, Экономическому и социальному комитету и Комитету регионов Сообщение об обеспечении безопасности и доверия в электронной коммуникации - к европейской структуре цифровых подписей и шифрования;

(3) 1 декабря 1997 г. Совет предложил Комиссии как можно скорее представить предложение по Директиве Европейского Парламента и Совета по цифровым подписям;

(4) Электронная связь и коммерция требуют «электронных подписей» и связанных с ними услуг, обеспечивающих аутентификацию данных; расходящиеся правила в отношении юридического признания электронных подписей и аккредитации поставщиков сертификационных услуг в государствах-членах могут создать значительный барьер для использования электронных коммуникаций и электронной коммерции; с другой стороны, четкая структура Сообщества в отношении условий, применимых к электронным подписям, укрепит доверие к новым технологиям и всеобщее признание; законодательство государств-членов не должно препятствовать свободному движению товаров и услуг на внутреннем рынке;

(5) Следует поощрять функциональную совместимость продуктов электронной подписи; в соответствии со статьей 14 Договора внутренний рынок представляет собой территорию без внутренних границ, на которой обеспечивается свободное перемещение товаров; основные требования, специфичные для продуктов электронной подписи, должны быть соблюдены, чтобы обеспечить свободное движение на внутреннем рынке и укрепить доверие к электронным подписям, без ущерба для Регламента Совета (ЕС) № 3381/94 от 19 декабря 1994 г., устанавливающего режим Сообщества. о контроле за экспортом товаров двойного использования(5) и Решение Совета 94/942/CFSP от 19 декабря 1994 г. о совместных действиях, принятых Советом относительно контроля экспорта товаров двойного использования(6);

(6) Настоящая Директива не гармонизирует предоставление услуг в отношении конфиденциальности информации, если они подпадают под действие национальных положений, касающихся государственной политики или общественной безопасности;

(7) Внутренний рынок обеспечивает свободное передвижение лиц, в результате чего гражданам и резидентам Европейского Союза все чаще приходится иметь дело с органами власти в государствах-членах, отличных от того, в котором они проживают; наличие электронных средств связи могло бы оказать в этом отношении большую помощь;

(8) Быстрое технологическое развитие и глобальный характер Интернета требуют подхода, открытого для различных технологий и услуг, способных осуществлять электронную аутентификацию данных;

(9) Электронные подписи будут использоваться в самых разных обстоятельствах и приложениях, что приведет к появлению широкого спектра новых услуг и продуктов, связанных с электронными подписями или использующих их; определение таких продуктов и услуг не должно ограничиваться выпуском сертификатов и управлением ими, но также должно охватывать любые другие услуги и продукты, использующие электронные подписи или вспомогательные для них, такие как услуги регистрации, службы отметок времени, службы каталогов, компьютерные услуги или консультационные услуги, связанные с электронными подписями;

(10) Внутренний рынок позволяет поставщикам сертификационных услуг развивать свою трансграничную деятельность с целью повышения своей конкурентоспособности и, таким образом, предлагать потребителям и предприятиям новые возможности для безопасного обмена информацией и торговли в электронном виде, независимо от границ. ; в целях стимулирования предоставления сертификационных услуг на уровне Сообщества через открытые сети поставщики сертификационных услуг должны иметь право предоставлять свои услуги без предварительного разрешения; предварительное разрешение означает не только любое разрешение, согласно которому соответствующий поставщик сертификационных услуг должен получить решение национальных органов, прежде чем ему будет разрешено предоставлять свои сертификационные услуги, но также любые другие меры, имеющие тот же эффект;

(11) Схемы добровольной аккредитации, направленные на повышение уровня предоставления услуг, могут предложить поставщикам сертификационных услуг соответствующую основу для дальнейшего развития их услуг до уровня доверия, безопасности и качества, требуемого развивающимся рынком; такие схемы должны способствовать развитию передового опыта среди поставщиков сертификационных услуг; поставщикам сертификационных услуг должна быть предоставлена ​​свобода придерживаться таких схем аккредитации и получать от них выгоду;

(12) Услуги по сертификации могут предлагаться как государственным органом, так и юридическим или физическим лицом, если оно учреждено в соответствии с национальным законодательством; поскольку государства-члены не должны запрещать поставщикам сертификационных услуг действовать за пределами схем добровольной аккредитации; следует обеспечить, чтобы такие схемы аккредитации не снижали конкуренцию за сертификационные услуги;

(13) Государства-члены ЕС могут решать, как они обеспечивают надзор за соблюдением положений, изложенных в настоящей Директиве; данная Директива не препятствует созданию систем надзора на базе частного сектора; настоящая Директива не обязывает поставщиков сертификационных услуг подавать заявку на прохождение надзора по любой применимой схеме аккредитации;

(14) Важно найти баланс между потребностями потребителей и бизнеса;

(15) Приложение III охватывает требования к безопасным устройствам создания подписей для обеспечения функциональности усовершенствованных электронных подписей; он не охватывает всю системную среду, в которой работают такие устройства; функционирование внутреннего рынка требует от Комиссии и государств-членов действовать быстро, чтобы дать возможность назначить органы, отвечающие за оценку соответствия устройств защищенной подписи Приложению III; для удовлетворения потребностей рынка оценка соответствия должна быть своевременной и эффективной;

(16) Настоящая Директива способствует использованию и юридическому признанию электронных подписей в Сообществе; нормативная база не требуется для электронных подписей, используемых исключительно в системах, основанных на добровольных соглашениях частного права между определенным числом участников; свобода сторон согласовывать между собой условия, на которых они принимают данные, подписанные электронной подписью, должна соблюдаться в той степени, в которой это разрешено национальным законодательством; следует признать юридическую силу электронных подписей, используемых в таких системах, и их допустимость в качестве доказательств в судебных разбирательствах;

(17) Настоящая Директива не направлена ​​на гармонизацию национальных правил, касающихся договорного права, в частности, заключения и исполнения контрактов или других формальностей внедоговорного характера, касающихся подписей; по этой причине положения, касающиеся юридической силы электронных подписей, не должны наносить ущерба требованиям относительно формы, установленным в национальном законодательстве в отношении заключения контрактов, или правилам, определяющим место заключения контракта;

(18) Хранение и копирование данных для создания подписи может создать угрозу юридической действительности электронных подписей;

(19) Электронные подписи будут использоваться в государственном секторе внутри национальных администраций и администраций Сообщества, а также при общении между такими администрациями, а также с гражданами и экономическими операторами, например, в системах государственных закупок, налогообложения, социального обеспечения, здравоохранения и правосудия;

(20) Гармонизированные критерии, касающиеся правовых последствий электронных подписей, сохранят согласованную правовую базу во всем Сообществе; национальное законодательство устанавливает различные требования к юридической действительности собственноручных подписей; поскольку сертификаты могут использоваться для подтверждения личности лица, подписывающего электронную подпись; усовершенствованные электронные подписи, основанные на квалифицированных сертификатах, призваны обеспечить более высокий уровень безопасности; усовершенствованные электронные подписи, основанные на квалифицированном сертификате и созданные с помощью устройства создания защищенной подписи, могут считаться юридически эквивалентными рукописным подписям только в том случае, если выполняются требования к рукописным подписям;

(21) Чтобы способствовать всеобщему признанию методов электронной аутентификации, необходимо обеспечить, чтобы электронные подписи могли использоваться в качестве доказательства в судебных разбирательствах во всех государствах-членах ЕС; юридическое признание электронных подписей должно основываться на объективных критериях и не быть связано с авторизацией соответствующего поставщика сертификационных услуг; национальное законодательство регулирует правовые сферы, в которых могут использоваться электронные документы и электронные подписи; настоящая Директива не наносит ущерба полномочиям национального суда выносить решения относительно соответствия требованиям настоящей Директивы и не затрагивает национальные правила, касающиеся беспрепятственного судебного рассмотрения доказательств;

(22) Поставщики сертификационных услуг, предоставляющие сертификационные услуги населению, подчиняются национальным правилам, касающимся ответственности;

(23) Развитие международной электронной торговли требует трансграничных соглашений с участием третьих стран; для обеспечения совместимости на глобальном уровне могут оказаться полезными соглашения о многосторонних правилах с третьими странами о взаимном признании сертификационных услуг;

(24) В целях повышения доверия пользователей к электронным коммуникациям и электронной коммерции поставщики сертификационных услуг должны соблюдать законодательство о защите данных и конфиденциальности личности;

(25) Положения об использовании псевдонимов в сертификатах не должны препятствовать государствам-членам требовать идентификации лиц в соответствии с законодательством Сообщества или национальным законодательством;

(26) Меры, необходимые для реализации настоящей Директивы, должны быть приняты в соответствии с Решением Совета 1999/468/EC от 28 июня 1999 г., устанавливающим процедуры осуществления полномочий по реализации, предоставленных Комиссии(7);

(27) Через два года после ее реализации Комиссия проведет пересмотр настоящей Директивы, чтобы, среди прочего, гарантировать, что развитие технологий или изменения в правовой среде не создали барьеров для достижения целей, заявленных в настоящей Директиве; ему следует изучить последствия соответствующих технических областей и представить отчет Европейскому парламенту и Совету по этому вопросу;

(28) В соответствии с принципами субсидиарности и пропорциональности, изложенными в статье 5 Договора, цель создания гармонизированной правовой базы для предоставления электронных подписей и связанных с ними услуг не может быть в достаточной степени достигнута государствами-членами и, следовательно, может быть достигнута. лучше достигаться Сообществом; настоящая Директива не выходит за рамки того, что необходимо для достижения этой цели,

ПРИНЯЛИ НАСТОЯЩУЮ ДИРЕКТИВУ:

Статья 1

Объем

Целью настоящей Директивы является облегчение использования электронных подписей и содействие их юридическому признанию. Он устанавливает правовую основу для электронных подписей и некоторых сертификационных услуг в целях обеспечения надлежащего функционирования внутреннего рынка.

Он не охватывает аспекты, связанные с заключением и действительностью контрактов или других юридических обязательств, в которых существуют требования к форме, предписанные национальным законодательством или законодательством Сообщества, а также не затрагивает правила и ограничения, содержащиеся в национальном законодательстве или законодательстве Сообщества, регулирующие использование документов. .

Статья 2

Определения

Для целей настоящей Директивы:

1. «электронная подпись» означает данные в электронной форме, которые прикреплены к другим электронным данным или логически связаны с ними и которые служат методом аутентификации;

2. "усовершенствованная электронная подпись" означает электронную подпись, отвечающую следующим требованиям:

(а) оно однозначно связано с подписавшим лицом;

(b) оно способно идентифицировать подписавшее лицо;

(c) оно создано с использованием средств, которые подписавшее лицо может держать под своим единоличным контролем; и

(d) оно связано с данными, к которым оно относится, таким образом, что любое последующее изменение данных можно обнаружить;

3. «подписавшее лицо» означает лицо, владеющее устройством для создания подписи и действующее либо от своего имени, либо от имени физического или юридического лица или организации, которую оно представляет;

4. «данные для создания подписи» означают уникальные данные, такие как коды или частные криптографические ключи, которые используются подписавшим для создания электронной подписи;

5. «устройство создания подписи» означает сконфигурированное программное или аппаратное обеспечение, используемое для реализации данных для создания подписи;

6. «устройство создания безопасной подписи» означает устройство создания подписи, которое соответствует требованиям, изложенным в Приложении III;

7. «данные проверки подписи» означают данные, такие как коды или открытые криптографические ключи, которые используются с целью проверки электронной подписи;

8. «устройство проверки подписи» означает сконфигурированное программное или аппаратное обеспечение, используемое для реализации данных проверки подписи;

9. «сертификат» означает электронное свидетельство, которое связывает данные проверки подписи с лицом и подтверждает личность этого лица;

10. «квалифицированный сертификат» означает сертификат, соответствующий требованиям, установленным в Приложении I, и предоставленный поставщиком сертификационных услуг, который выполняет требования, установленные в Приложении II;

11. «поставщик сертификационных услуг» означает юридическое или юридическое или физическое лицо, которое выдает сертификаты или предоставляет другие услуги, связанные с электронными подписями;

12. «продукт электронной подписи» означает аппаратное или программное обеспечение или соответствующие его компоненты, которые предназначены для использования поставщиком сертификационных услуг для предоставления услуг электронной подписи или предназначены для использования для создания или проверки электронных подписей;

13. «добровольная аккредитация» означает любое разрешение, устанавливающее права и обязанности, характерные для предоставления сертификационных услуг, которое должно быть предоставлено по запросу соответствующего поставщика сертификационных услуг, государственного или частного органа, которому поручена разработка, и надзор за соблюдением таких прав и обязанностей, когда поставщик сертификационных услуг не имеет права осуществлять права, вытекающие из разрешения, до получения решения органа.

Статья 3

Доступ к рынку

1. Государства-члены ЕС не должны требовать предварительного разрешения для предоставления сертификационных услуг.

2. Без ущерба для положений параграфа 1, государства-члены могут вводить или поддерживать схемы добровольной аккредитации, направленные на повышение уровня предоставления сертификационных услуг. Все условия, связанные с такими схемами, должны быть объективными, прозрачными, соразмерными и недискриминационными. Государства-члены не могут ограничивать количество аккредитованных поставщиков сертификационных услуг по причинам, подпадающим под действие настоящей Директивы.

3. Каждое государство-член должно обеспечить создание соответствующей системы, которая позволяет осуществлять надзор за поставщиками сертификационных услуг, которые расположены на его территории и выдают квалифицированные сертификаты населению.

4. Соответствие безопасных устройств создания подписей требованиям, изложенным в Приложении III, должно определяться соответствующими государственными или частными органами, назначенными государствами-членами. Комиссия должна, в соответствии с процедурой, изложенной в Статье 9, установить критерии, по которым государства-члены могут определить, следует ли назначать орган.

Определение соответствия требованиям, изложенным в Приложении III, сделанное органами, указанными в первом подпараграфе, должно признаваться всеми государствами-членами.

5. Комиссия может в соответствии с процедурой, установленной в статье 9, устанавливать и публиковать справочные номера общепризнанных стандартов для продуктов электронной подписи в Официальном журнале Европейских сообществ. Государства-члены должны предполагать, что существует соответствие требованиям, изложенным в Приложении II, пункте (f) и Приложении III, если продукт для электронной подписи соответствует этим стандартам.

6. Государства-члены и Комиссия должны работать вместе, чтобы способствовать разработке и использованию устройств проверки подписи в свете рекомендаций по безопасной проверке подписи, изложенных в Приложении IV, и в интересах потребителя.

7. Государства-члены ЕС могут обусловить использование электронных подписей в государственном секторе возможными дополнительными требованиями. Такие требования должны быть объективными, прозрачными, соразмерными и недискриминационными и относиться только к конкретным характеристикам соответствующего заявления. Такие требования не могут являться препятствием для трансграничных услуг для граждан.

Статья 4

Принципы внутреннего рынка

1. Каждое государство-член должно применять национальные положения, которые оно принимает в соответствии с настоящей Директивой, к поставщикам сертификационных услуг, учрежденным на его территории, и к услугам, которые они предоставляют. Государства-члены ЕС не могут ограничивать предоставление сертификационных услуг, происходящих из другого государства-члена ЕС, в областях, охватываемых настоящей Директивой.

2. Государства-члены ЕС должны гарантировать, что продуктам с электронной подписью, которые соответствуют настоящей Директиве, разрешено свободное обращение на внутреннем рынке.

Статья 5

Правовые последствия электронных подписей

1. Государства-члены ЕС должны гарантировать, что расширенные электронные подписи, основанные на квалифицированном сертификате и созданные с помощью устройства создания защищенной подписи:

(a) удовлетворять юридическим требованиям к подписи в отношении данных в электронной форме таким же образом, как собственноручная подпись удовлетворяет этим требованиям в отношении данных на бумажном носителе; и

(b) допустимы в качестве доказательства в судебном разбирательстве.

2. Государства-члены ЕС должны гарантировать, что электронная подпись не будет лишена юридической силы и допустимости в качестве доказательства в судебных разбирательствах исключительно на том основании, что она:

- в электронной форме, или

- не основано на квалифицированном сертификате, или

- не основано на квалифицированном сертификате, выданном аккредитованным поставщиком сертификационных услуг, или

- не создано безопасным устройством создания подписи.

Статья 6

Обязанность

1. Как минимум, государства-члены ЕС должны гарантировать, что, выдавая сертификат в качестве квалифицированного сертификата для общественности или гарантируя такой сертификат для общественности, поставщик сертификационных услуг несет ответственность за ущерб, причиненный любому юридическому или юридическому или физическому лицу. кто разумно полагается на этот сертификат:

(a) в отношении точности на момент выдачи всей информации, содержащейся в квалифицированном сертификате, и в отношении того факта, что сертификат содержит все сведения, предписанные для квалифицированного сертификата;

(b) для уверенности в том, что на момент выдачи сертификата подписавший, указанный в квалифицированном сертификате, владел данными для создания подписи, соответствующими данным для проверки подписи, указанным или указанным в сертификате;

(c) для уверенности в том, что данные для создания подписи и данные для проверки подписи могут использоваться взаимодополняющим образом в случаях, когда поставщик сертификационных услуг генерирует их оба;

если поставщик сертификационных услуг не докажет, что он не действовал по халатности.

2. Как минимум, государства-члены ЕС должны гарантировать, что поставщик сертификационных услуг, выдавший сертификат в качестве квалифицированного сертификата для общественности, несет ответственность за ущерб, причиненный любому юридическому или физическому лицу, которое разумно полагается на сертификат из-за невыполнения требований. зарегистрировать отзыв сертификата, если поставщик сертификационных услуг не докажет, что он не действовал по халатности.

3. Государства-члены ЕС должны гарантировать, что поставщик сертификационных услуг может указать в квалифицированном сертификате ограничения на использование этого сертификата. при условии, что ограничения известны третьим лицам. Поставщик сертификационных услуг не несет ответственности за ущерб, возникший в результате использования квалифицированного сертификата, превышающего наложенные на него ограничения.

4. Государства-члены ЕС должны гарантировать, что поставщик сертификационных услуг может указать в квалифицированном сертификате предел стоимости операций, для которых может использоваться сертификат, при условии, что этот лимит известен третьим лицам.

Поставщик сертификационных услуг не несет ответственности за ущерб, возникший в результате превышения этого максимального предела.

5. Положения параграфов с 1 по 4 не наносят ущерба Директиве Совета 93/13/EEC от 5 апреля 1993 г. о несправедливых условиях потребительских договоров(8).

Статья 7

Международные аспекты

1. Государства-члены ЕС должны обеспечить, чтобы сертификаты, которые выдаются в качестве квалифицированных сертификатов для общественности поставщиком сертификационных услуг, учрежденным в третьей стране, признавались юридически эквивалентными сертификатам, выданным поставщиком сертификационных услуг, учрежденным в Сообществе, если:

(a) поставщик сертификационных услуг соответствует требованиям, изложенным в настоящей Директиве, и был аккредитован в соответствии со схемой добровольной аккредитации, установленной в государстве-члене; или

(b) поставщик сертификационных услуг, учрежденный на территории Сообщества и отвечающий требованиям, изложенным в настоящей Директиве, гарантирует сертификат; или

(c) сертификат или поставщик сертификационных услуг признан в соответствии с двусторонним или многосторонним соглашением между Сообществом и третьими странами или международными организациями.

2. В целях содействия услугам трансграничной сертификации с третьими странами и юридическому признанию усовершенствованных электронных подписей, происходящих из третьих стран, Комиссия должна вносить предложения, где это необходимо, для достижения эффективного внедрения стандартов и международных соглашений, применимых к сертификационным услугам. В частности, и при необходимости, он должен представлять Совету предложения о соответствующих мандатах для переговоров по двусторонним и многосторонним соглашениям с третьими странами и международными организациями. Совет принимает решение квалифицированным большинством.

3. Всякий раз, когда Комиссия получает информацию о любых трудностях, с которыми сталкиваются предприятия Сообщества в отношении доступа на рынки в третьих странах, она может, при необходимости, представить предложения Совету о соответствующем мандате для ведения переговоров о сопоставимых правах для предприятий Сообщества в этих третьих странах. страны. Совет принимает решение квалифицированным большинством.

Меры, принимаемые в соответствии с настоящим параграфом, не наносят ущерба обязательствам Сообщества и государств-членов по соответствующим международным соглашениям.

Статья 8

Защита данных

1. Государства-члены ЕС должны обеспечить, чтобы поставщики сертификационных услуг и национальные органы, ответственные за аккредитацию или надзор, соблюдали требования, изложенные в Директиве 95/46/EC Европейского Парламента и Совета от 24 октября 1995 г. о защите частных лиц. в отношении обработки персональных данных и свободного перемещения таких данных(9).

2. Государства-члены ЕС должны гарантировать, что поставщик сертификационных услуг, который выдает сертификаты для общественности, может собирать персональные данные только непосредственно от субъекта данных или после явного согласия субъекта данных, и только в той мере, в какой это необходимо для целей выдачи и сохранения сертификата. Данные не могут собираться или обрабатываться для каких-либо других целей без явного согласия субъекта данных.

3. Без ущерба для юридической силы, придаваемой псевдонимам в соответствии с национальным законодательством, государства-члены не должны препятствовать поставщикам сертификационных услуг указывать в сертификате псевдоним вместо имени подписавшего.

Статья 9

комитет

1. Комиссии помогает «Комитет по электронной подписи», именуемый в дальнейшем «комитет».

2. Если делается ссылка на настоящий параграф, применяются статьи 4 и 7 Решения 1999/468/EC с учетом положений его статьи 8.

Срок, предусмотренный статьей 4(3) Решения 1999/468/EC, устанавливается в размере трех месяцев.

3. Комитет принимает свои собственные правила процедуры.

Статья 10

Задачи комитета

Комитет разъясняет требования, изложенные в Приложениях к настоящей Директиве, критерии, указанные в статье 3(4), а также общепризнанные стандарты для продуктов электронной подписи, установленные и опубликованные в соответствии со статьей 3(5), в соответствии с процедурой изложенное в статье 9(2).

Статья 11

Уведомление

1. Государства-члены должны уведомить Комиссию и другие государства-члены о следующем:

(a) информацию о национальных схемах добровольной аккредитации, включая любые дополнительные требования в соответствии со Статьей 3(7);

(b) названия и адреса национальных органов, ответственных за аккредитацию и надзор, а также органов, упомянутых в Статье 3(4);

(c) имена и адреса всех аккредитованных национальных поставщиков сертификационных услуг.

2. Любая информация, предоставленная в соответствии с параграфом 1, и изменения в отношении этой информации должны быть уведомлены государствами-членами как можно скорее.

Статья 12

Обзор

1. Комиссия должна рассмотреть действие настоящей Директивы и отчитаться по этому поводу Европейскому парламенту и Совету не позднее 19 июля 2003 года.

2. Анализ должен, среди прочего, оценить, следует ли изменить сферу действия настоящей Директивы с учетом технологических, рыночных и правовых изменений. Отчет должен, в частности, включать оценку аспектов гармонизации на основе приобретенного опыта. Отчет должен сопровождаться, при необходимости, законодательными предложениями.

Статья 13

Выполнение

1. Государства-члены должны ввести в действие законы, нормативные акты и административные положения, необходимые для соблюдения настоящей Директивы, до 19 июля 2001 г. Они должны немедленно проинформировать об этом Комиссию.

Когда государства-члены ЕС принимают эти меры, они должны содержать ссылку на настоящую Директиву или сопровождаться такой ссылкой в ​​случае их официальной публикации. Методы такой ссылки устанавливаются государствами-членами.

2. Государства-члены должны сообщить Комиссии текст основных положений внутреннего законодательства, которые они принимают в области, регулируемой настоящей Директивой.

Статья 14

Вступление в силу

Настоящая Директива вступает в силу в день ее публикации в Официальном журнале Европейских сообществ.

Статья 15

Адресаты

Данная Директива адресована государствам-членам.

Совершено в Брюсселе 13 декабря 1999 года.

За Европейский Парламент

Президент

Н. ФОНТЭН

Для Совета

Президент

с. сенсорный

(1) OJ C 325, 23.10.1998, с. 5.

(2) OJ C 40, 15 февраля 1999 г., с. 29.

(3) OJ C 93, 6 апреля 1999 г., с. 33.

(4) Заключение Европейского Парламента от 13 января 1999 г. (ОЖ C 104, 14 апреля 1999 г., стр. 49), Общая позиция Совета от 28 июня 1999 г. (ОЖ C 243, 27 августа 1999 г., стр. 33) и Решение Европейский парламент от 27 октября 1999 г. (еще не опубликовано в Официальном журнале). Решение Совета от 30 ноября 1999 г.

(5) OJ L 367, 31.12.1994, с. 1. Регламент с поправками, внесенными Регламентом (ЕС) № 837/95 (ОЖ L 90, 21 апреля 1995 г., стр. 1).

(6) OJ L 367, 31 декабря 1994 г., с. 8. Решение с последними поправками, внесенными Решением 99/193/CFSP (ОЖ L 73, 19 марта 1999 г., стр. 1).

(7) OJ L 184, 17 июля 1999 г., с. 23.

(8) OJ L 95, 21 апреля 1993 г., с. 29.

(9) OJ L 281, 23.11.1995, с. 31.

ПРИЛОЖЕНИЕ I

Требования к квалификационным сертификатам

Квалифицированные сертификаты должны содержать:

(a) указание на то, что сертификат выдан как квалифицированный сертификат;

(b) идентификация поставщика сертификационных услуг и государства, в котором он учрежден;

(c) имя подписавшего или псевдоним, который должен быть указан как таковой;

(d) положение о включении конкретного атрибута подписавшего лица, если это необходимо, в зависимости от цели, для которой предназначен сертификат;

(e) данные проверки подписи, которые соответствуют данным создания подписи, находящимся под контролем подписавшего;

(f) указание начала и окончания срока действия сертификата;

(g) идентификационный код сертификата;

(h) расширенная электронная подпись выдавшего ее поставщика сертификационных услуг;

(i) ограничения на сферу использования сертификата, если применимо; и

(j) ограничения на стоимость транзакций, для которых может использоваться сертификат, если применимо.

ПРИЛОЖЕНИЕ II

Требования к поставщикам сертификационных услуг, выдающим квалифицированные сертификаты

Поставщики сертификационных услуг должны:

(a) продемонстрировать надежность, необходимую для предоставления сертификационных услуг;

(b) обеспечить работу оперативного и безопасного каталога и безопасной и немедленной службы отзыва;

(c) гарантировать, что дата и время выдачи или отзыва сертификата могут быть точно определены;

(d) проверять соответствующими средствами в соответствии с национальным законодательством личность и, если применимо, любые конкретные характеристики лица, которому выдан квалифицированный сертификат;

(e) нанимать персонал, обладающий экспертными знаниями, опытом и квалификацией, необходимыми для предоставляемых услуг, в частности компетентностью на управленческом уровне, знаниями в области технологии электронной подписи и знанием надлежащих процедур безопасности; они также должны применять административные и управленческие процедуры, которые являются адекватными и соответствуют признанным стандартам;

(f) использовать надежные системы и продукты, защищенные от модификации и обеспечивающие техническую и криптографическую безопасность поддерживаемого ими процесса;

(g) принимать меры против подделки сертификатов и, в случаях, когда поставщик сертификационных услуг генерирует данные для создания подписи, гарантировать конфиденциальность в процессе создания таких данных;

(h) поддерживать достаточные финансовые ресурсы для деятельности в соответствии с требованиями, изложенными в Директиве, в частности, чтобы нести риск ответственности за ущерб, например, путем получения соответствующей страховки;

(i) записывать всю соответствующую информацию, касающуюся квалифицированного сертификата, в течение соответствующего периода времени, в частности, с целью предоставления доказательств сертификации для целей судебного разбирательства. Такая запись может осуществляться в электронном виде;

(j) не хранить и не копировать данные для создания подписи лица, которому поставщик сертификационных услуг предоставил услуги по управлению ключами;

(k) перед вступлением в договорные отношения с лицом, желающим получить сертификат для поддержки своей электронной подписи, проинформировать это лицо с помощью надежного средства связи о точных условиях использования сертификата, включая любые ограничения на его использование, наличие схемы добровольной аккредитации и процедур рассмотрения жалоб и разрешения споров. Такая информация, которая может передаваться в электронном виде, должна быть представлена ​​в письменной форме и на легко понятном языке. Соответствующие части этой информации также должны быть доступны по запросу третьим лицам, использующим сертификат;

(l) использовать надежные системы для хранения сертификатов в проверяемой форме, чтобы:

- только уполномоченные лица могут вносить записи и изменения,

- информацию можно проверить на подлинность,

- сертификаты общедоступны для поиска только в тех случаях, для которых было получено согласие владельца сертификата, и

- любые технические изменения, нарушающие эти требования безопасности, очевидны для оператора.

ПРИЛОЖЕНИЕ III

Требования к безопасным устройствам создания подписей

1. Безопасные устройства создания подписи должны с помощью соответствующих технических и процедурных средств обеспечивать, по крайней мере, следующее:

(a) данные для создания подписи, используемые для генерации подписи, практически могут встречаться только один раз, и что их секретность разумно гарантирована;

(b) данные для создания подписи, используемые для генерации подписи, не могут быть получены с разумной уверенностью, и подпись защищена от подделки с использованием доступной в настоящее время технологии;

(c) данные для создания подписи, используемые для генерации подписи, могут быть надежно защищены законным подписавшим лицом от использования другими лицами.

2. Устройства безопасного создания подписи не должны изменять подписываемые данные или препятствовать предоставлению таких данных подписавшему лицу до процесса подписи.

ПРИЛОЖЕНИЕ IV

Рекомендации по безопасной проверке подписи

В ходе процесса проверки подписи следует с разумной уверенностью гарантировать, что:

(a) данные, используемые для проверки подписи, соответствуют данным, отображаемым проверяющему лицу;

(б) подпись надежно проверена и результат этой проверки отображается правильно;

(c) проверяющий может, при необходимости, надежно установить содержание подписанных данных;

(d) подлинность и действительность сертификата, требуемого во время проверки подписи, надежно проверены;

(д) результат проверки и личность подписавшего отображаются правильно;

(f) четко указано использование псевдонима; и

(g) любые изменения, связанные с безопасностью, могут быть обнаружены.