Директива 1999/93/ЄС
Європейського парламенту та Ради
"Про систему електронних підписів, що застосовується
в межах Співтовариства"
від 13 грудня 1999 року

Офіційний переклад

Європейський парламент та рада європейського союзу,

Беручи до уваги Договір про утворення Європейського Співтовариства та, зокрема, його статті 47(2), 55 та 95,

Беручи до уваги пропозиції Комісії (1),

Беручи до уваги висновки Комітету з Економічних та Соціальних питань (2),

Беручи до уваги висновки Комітету у справах регіонів (3),

Діючи відповідно до процедури, передбаченої в статті 251 Договору (4),

___________________

(1) OJ С 325, 23.10.1998, р. 5.

(2) OJ С 40, 15.02.1999, р. 29.

(3) OJ С 93, 06.04.1999, р. 33.

(4) Висновки Європейського Парламенту від 13 січня 1999 року (OJ С 104, 14.04.1999, р. 49), Спільна позиція Ради від 28 червня 1999 року (ще не опублікована в Офіційному журналі). Рішення Ради від 30 листопада 1999 року.

Враховуючи, що:

(1) 16 квітня 1997 року Комісія представила до Європейського Парламенту, Ради, Комітету з Економічних і Соціальних питань та Комітету у справах регіонів Комюніке про європейську ініціативу в сфері електронної комерції;

(2) 8 жовтня 1997 року Комісія представила Європейському Парламенту, Раді, Комітету з Економічних і Соціальних питань та Комітету у справах регіонів Комюніке про забезпечення безпеки та довіри в сфері електронного зв'язку - до європейської системи електронних цифрових підписів та шифрування;

(3) 1 грудня 1997 року Рада запросила Комісію якомога швидше подати пропозиції щодо Директиви Європейського Парламенту та Ради про електронні цифрові підписи;

(4) Електронний зв'язок та комерція обумовлюють використання "електронних підписів" та суміжних послуг, що роблять можливим засвідчення достовірності інформації; суперечливі норми щодо правового визнання електронних підписів та акредитації постачальників послуг по сертифікації в державах-членах можуть створити значну перешкоду для використання електронного зв'язку та електронної комерції; з іншого боку, чітка система умов, що застосовуються до електронних підписів в межах Співтовариства, зміцнить впевненість та загальне визнання нових технологій; законодавство держав-членів не повинно перешкоджати вільному переміщенню товарів та послуг на внутрішньому ринку;

(5) Має забезпечуватись функціональна сумісність продукції для електронного підпису; відповідно до статті 14 Договору , внутрішній ринок включає в себе територію без внутрішніх кордонів, в межах якої забезпечується вільне переміщення товарів; з метою забезпечити вільне переміщення товарів в межах внутрішнього ринку та забезпечити довіру електронним підписам, мають бути задоволені істотні вимоги, характерні для продукції для електронного підпису без перешкод до Постанови Ради (ЄС) N 3381/94 від 19 грудня 1994 року, відповідно до якої засновується режим контролю за експортом товарів подвійного призначення в межах Співтовариства (5), та Рішення Ради 94/942/CFSP від 19 грудня 1994 року про спільні дії, прийняті Радою в сфері контролю над експортом товарів подвійного призначення (6); ___________________

(5) OJ L 367, 31.12.1994, р. 1. Постанова з поправками, востаннє внесеними Постановою (ЄС) N 837/95 (OJ L 90, 21.04.1995, р. 1).

(6) OJ L 367, 31.12.1994, р. 8. Рішення з поправками, востаннє внесеними Рішенням 99/193/CFSP (OJ L 73, 19.03.1999, р. 1).

(6) Ця Директива не узгоджує постачання послуг із дотримання конфіденційності інформації у тому випадку, якщо їх надання регулюється нормами внутрішнього законодавства стосовно державної політики чи державної безпеки;

(7) Внутрішній ринок передбачає вільне переміщення осіб, внаслідок чого громадяни чи постійні мешканці держав Європейського Союзу все більшою мірою стикаються з потребою мати справу із органами держав-членів, відмінних від держави їх проживання; в такому випадку доступність електронного зв'язку набуває великого значення;

(8) Швидкий технологічний розвиток та глобальна сутність мережі Інтернет вимагають вироблення підходу, відкритого для різних технологій та послуг, який дає можливість засвідчувати інформацію електронним шляхом;

(9) Електронні підписи будуть використовуватись у великій кількості випадків, що мають своїм наслідком виникнення широкого спектра нових послуг та продукції, яка відноситься до чи використовує електронні підписи; визначення такої продукції та послуг не повинно зводитись лише до видачі та організації сертифікатів, але має також включати в себе будь-які інші послуги та продукцію, що використовує чи є допоміжною до електронних підписів, такі як послуги реєстрації, проставлення дати, довідкові послуги, послуги по підрахуванню чи послуги з надання консультацій стосовно електронних підписів;

(10) Внутрішній ринок дає можливість постачальникам послуг по сертифікації розвивати свою транскордонну діяльність з метою досягти зростання їх конкурентоспроможності і, таким чином надати споживачам та підприємцям нові можливості для безпечного обміну інформацією та ведення торгівлі електронним шляхом, незважаючи на кордони; з тим, щоб стимулювати надання в межах всього Співтовариства послуг по сертифікації через відкриті мережі, постачальник послуг по сертифікації має бути вільним з тим, щоб надавати свої послуги без попереднього отримання дозволу; отримання попереднього дозволу означає не лише отримання будь-якого дозволу, за допомогою якого зацікавлений постачальник послуг по сертифікації має отримати рішення державних органів до того, як йому дозволять надавати свої послуги по сертифікації, але й будь-які інші заходи, що мають таку ж силу;

(11) Схеми добровільної акредитації, метою запровадження яких є підвищення рівня надання послуг, можуть запропонувати постачальникам послуг по сертифікації відповідну систему подальшого розвитку їх послуг, спрямовану на такі рівні довіри, безпеки та якості, які вимагаються умовами ринку, що розвивається; такі схеми мають заохочувати розвиток кращої практики серед постачальників послуг по сертифікації; постачальники послуг по сертифікації мають бути вільними у прийнятті рішення про приєднання та отримання прибутків від таких схем акредитації;

(12) Послуги по сертифікації можуть пропонуватись або фізичною особою, або державним підприємством чи юридичною особою у випадку, якщо вона засновується відповідно до норм внутрішнього законодавства; враховуючи, що держави-члени не повинні забороняти постачальникам послуг по сертифікації здійснювати діяльність поза межами системи добровільної акредитації; такі системи акредитації не повинні знижувати конкуренцію в сфері надання послуг по сертифікації;

(13) Держави-члени можуть самі вирішувати спосіб забезпечення контролю над дотриманням положень, передбачених цією Директивою; ця Директива не перешкоджає встановленню приватних систем контролю; ця Директива не зобов'язує постачальників послуг по сертифікації подавати заяву на поширення на них контролю з боку будь-якої системи акредитації;

(14) Важливо встановити рівновагу між потребами споживача та потребами підприємницької діяльності;

(15) Додаток III містить вимоги до безпечних засобів створення підпису з метою забезпечити функціонування вдосконалених електронних підписів; це не передбачає все середовище системи, в якому функціонують такі засоби; функціонування внутрішнього ринку вимагає від Комісії та держав-членів діяти швидко з метою надання можливості призначати органи, уповноважені оцінювати відповідність безпечних засобів створення підпису положенням Додатку III; з тим, щоб виконати вимоги ринку, оцінка відповідності вищезазначених засобів має здійснюватись вчасно та ефективно;

(16) Ця Директива сприяє використанню та правовому визнанню електронних підписів в межах Співтовариства; електронні підписи, що використовуються винятково в межах систем, заснованих на добровільних угодах, укладених між визначеною кількістю учасників, які регулюються приватним правом, не потребують регулятивної системи; свобода сторін узгоджувати між собою терміни та умови прийняття інформації, підписаної електронним шляхом, має поважатись до міри, передбаченої внутрішнім законодавством; юридична сила електронних підписів, що використовуються у таких системах, та їх прийнятність в якості доказів в судочинстві, має бути визнана;

(17) Ця Директива не має на меті гармонізувати норми внутрішнього законодавства в сфері договірного права, зокрема, в сфері укладання та виконання контрактів або інших формальностей, що не мають договірного характеру стосовно підписів; з цієї причини положення щодо юридичної сили електронних підписів мають без перешкод застосовуватись до вимог щодо форми укладення контрактів чи норм, які визначають місце укладення контракту, передбачених внутрішнім законодавством;

(18) Зберігання та копіювання даних, що створюють підпис, може становити загрозу юридичній чинності електронних підписів;

(19) Електронні підписи будуть використовуватись в державному секторі виконавчими органами влади окремих держав та Співтовариства в цілому та у зв'язках між такими виконавчими органами та громадянами й економічними операторами, наприклад, при державних закупівлях, оподаткуванні, системі соціальної безпеки, системі охорони здоров'я та системі правосуддя;

(20) Узгоджені критерії юридичної сили електронних підписів будуть забезпечувати послідовну правову систему в Співтоваристві; внутрішнє законодавство передбачає різні вимоги щодо юридичної чинності підписів, написаних власноручно; враховуючи, що сертифікати можуть використовуватись для підтвердження ідентичності особи, яка поставила електронний підпис; вдосконалені електронні підписи, засновані на чинних сертифікатах, мають на меті підвищення рівня безпеки; вдосконалені електронні підписи, засновані на чинних сертифікатах, та які створені за допомогою безпечних засобів створення підпису, можуть вважатись з правової точки зору еквівалентними підписам, написаним власноручно у випадку, якщо виконані вимоги до підписів, написаних власноручно;

(21) З тим, щоб сприяти загальному прийняттю методів електронного засвідчення, необхідно передбачити використання електронних підписів в якості доказів в судочинстві в усіх державах-членах; юридичне визнання електронних підписів має засновуватись на об'єктивних критеріях та не бути пов'язане із отриманням дозволу відповідним постачальником послуг по сертифікації; внутрішнє законодавство регулює правові сфери, в яких можуть використовуватись електронні документи та електронні підписи; ця Директива без перешкод застосовується до повноважень суду загальнодержавної юрисдикції виносити постанову про відповідність вимогам цієї Директиви, та не впливає на норми національного законодавства стосовно необмеженого судового розгляду доказів;

(22) На постачальників послуг по сертифікації, які надають свої послуги громадськості, поширюються норми національного законодавства стосовно відповідальності;

(23) Розвиток міжнародної електронної комерції вимагає укладення транскордонних угод, до яких залучаються треті держави; з тим, щоб забезпечити взаємодію на глобальному рівні, угоди про багатосторонні принципи, узгоджені із третіми державами про взаємне визнання послуг по сертифікації, можуть бути корисними;

(24) З тим, щоб зміцнити впевненість користувача в електронному зв'язку та електронній комерції, постачальники послуг по сертифікації повинні дотримуватись законодавства в сфері захисту інформації та індивідуальної таємниці;

(25) Положення про використання псевдонімів у сертифікатах не повинні перешкоджати державам-членам вимагати ідентифікації осіб відповідно до законодавства Співтовариства чи внутрішнього законодавства окремих держав;

(26) Мають бути прийняті акти, необхідні для імплементації цієї Директиви відповідно до Рішення Ради 1999/468/ЄС від 28 червня 1999 року, які б передбачали процедури виконання повноважень з імплементації, покладених на Комісію (7);

___________________

(7) OJ L 184, 17.07.1999, р. 23.

(27) Через два роки з моменту імплементації Комісія здійснює перегляд цієї Директиви з метою забезпечити, щоб розвиток технологій чи зміни у правовому середовищі не утворили перешкод для досягнення цілей, викладених у цій Директиві; вона вивчає наслідки об'єднаних технічних зон та подає звіт до Європейського парламенту та Ради по цьому предмету;

(28) Відповідно до принципу субсидіарності та пропорційності, як це викладено в статті 5 Договору, мета утворення узгодженої правової системи забезпечення електронних підписів та суміжних послуг не може бути досягнута державами-членами в повній мірі й, таким чином, краще досягається Співтовариством; ця Директива не виходить за межі необхідності досягнення цієї мети,

Прийняла цю директиву:

Стаття 1
Сфера дії

Метою цієї Директиви є сприяти використанню електронних підписів та їх юридичному визнанню. Вона закладає правову основу для використання електронних підписів і певних послуг по сертифікації з метою забезпечення належного функціонування внутрішнього ринку. Вона не охоплює аспектів, що стосуються укладання і чинності контрактів чи інших правових зобов'язань, якщо мають місце вимоги, передбачені формою, визначеною внутрішнім законодавством чи законодавством держав Співтовариства, так само, як вона не впливає на правила і обмеження використання документів, що містяться у внутрішньому законодавстві чи законодавстві держав Співтовариства.

Стаття 2
Визначення

Для цілей цієї Директиви:

1. термін "електронний підпис" означає дані, подані в електронній формі, які додаються чи логічно поєднуються з іншими електронними даними та які служать в якості методу засвідчення достовірності;

2. термін "удосконалений електронний підпис" означає електронний підпис, який відповідає наступним вимогам:

а) він пов'язаний винятково з особою, що підписалась;

b) він дає можливість ідентифікувати особу, що підписалась;

с) він створений за допомогою засобів, які особа, що підписалась, може тримати під своїм повним контролем; і

d) він пов'язаний з даними, до яких він відноситься у такий спосіб, що будь-яку подальшу зміну даних можна виявити;

3. термін "особа, що підписалась" означає особу, яка володіє механізмом створення підпису і діє від свого власного імені чи від імені фізичної чи юридичної особи чи організації, яку він представляє;

4. термін "дані, що створюють підпис" означає виняткові дані, такі як коди чи приватні криптографічні ключі, які використовуються особою, що підписалась, для створення електронного підпису;

5. термін "механізм створення підпису" означає пристосоване програмне чи апаратне забезпечення, яке використовується для створення даних, що створюють підпис;

6. термін "безпечний механізм створення підпису" означає механізм створення підпису, який відповідає вимогам, викладеним у Додатку III;

7. термін "дані для перевірки підпису" означає дані, такі як коди чи відкриті криптографічні ключі, які використовуються з метою перевірки електронного підпису;

8. термін "механізм перевірки підпису" означає пристосоване програмне чи апаратне забезпечення, яке використовується для введення в дію даних для перевірки підпису;

9. термін "сертифікат" означає електронну атестацію, яка пов'язує дані для перевірки підпису з особою і підтверджують ідентичність цієї особи;

10. термін "чинний сертифікат" означає сертифікат, який відповідає вимогам, викладеним у Додатку I, і видається постачальником послуг по сертифікації, який виконує вимоги, викладені у Додатку II;

11. термін "постачальник послуг по сертифікації" означає організацію чи фізичну особу, яка видає сертифікати чи надає інші послуги, пов'язані з електронними підписами;

12. термін "продукція для електронного підпису" означає апаратне чи програмне забезпечення, чи його відповідні компоненти, які призначені для використання їх постачальником послуг по сертифікації з метою надання послуг, пов'язаних з електронним підписом, чи призначені для перевірки електронних підписів;

13. термін "добровільна акредитація" означає будь-який дозвіл, що встановлює права і обов'язки по наданню послуг по сертифікації, який надається на запит відповідного постачальника послуг по сертифікації державним чи приватним органом, уповноваженим розробляти і контролювати відповідність таким правам і обов'язкам, якщо постачальник послуг по сертифікації не має права користуватись правами, що витікають з дозволу, до отримання рішення органу.

Стаття 3
Доступ до ринку

1. Держави-члени не передбачають необхідність попереднього дозволу для надання послуг по сертифікації.

2. Без перешкоди до положень пункту 1, держави-члени можуть запровадити чи підтримувати системи добровільної акредитації, метою яких є підвищення рівнів надання послуг по сертифікації. Всі умови, що стосуються таких систем, мають бути об'єктивними, прозорими, пропорційними і недискримінаційними. Держави-члени можуть не обмежувати кількість акредитованих постачальників послуг по сертифікації з причин, які підпадають під сферу дії цієї Директиви.

3. Кожна держава-член забезпечує створення відповідної системи, яка дає можливість нагляду постачальників послуг по сертифікації, заснованих на її території, та які видають чинні сертифікати.

4. Відповідність безпечних механізмів створення підпису вимогам, викладеним у Додатку III визначається відповідними державними чи приватними органами, призначеними державами-членами. Відповідно до процедури, викладеної у статті 9, Комісія визначає критерії необхідності призначення державами-членами органу.

Визначення відповідності вимогам, викладеним у Додатку III, зроблене органами, про яке йдеться у першому підпункті, визнається всіма державами членами.

5. Відповідно до положень, викладених у статті 9, Комісія може встановити та опублікувати в Офіційному журналі Європейських Співтовариств перелік загальновизнаних стандартів продукції для електронних підписів. Держави-члени вважають, що у випадку відповідності продукції для електронних підписів вимогам, викладеним у пункті (f) Додатку II і Додатку III, вона задовольняє ці стандарти.

6. В світлі рекомендацій для безпечних механізмів створення підпису, викладених у Додатку IV, і в інтересах споживача держави-члени і Комісія працюють разом для сприяння розвитку та використання механізмів перевірки підписів.

7. Держави-члени можуть накласти на використання електронних підписів у державному секторі додаткові вимоги. Такі вимоги є об'єктивними, прозорими, пропорційними і недискримінаційними і стосуються виключно специфічних характеристик при відповідному застосуванні. Такі вимоги можуть не створювати перешкод для надання транскордонних послуг громадянам.

Стаття 4
Принципи внутрішнього ринку

1. Кожна держава-член застосовує до постачальників послуг по сертифікації, заснованих на її території, і до послуг, які вони надають, положення внутрішнього законодавства, які вона приймає відповідно до цієї Директиви.

Держави-члени можуть не обмежувати надання послуг по сертифікації на території іншої держави-члена у сферах, що регулюються цією Директивою.

2. Держави-члени забезпечують дозвіл вільного обігу на внутрішньому ринку продукції для електронного підпису, що відповідає цій Директиві.

Стаття 5
Юридична сила електронних підписів

1. Держави-члени забезпечують, щоб удосконалені електронні підписи, засновані на чинних сертифікатах і створені за допомогою безпечних механізмів створення підпису:

а) задовольняли юридичним вимогам до підписів стосовно даних, поданих у електронній формі, так само, як підпис, написаний власноручно, задовольняє вимоги стосовно даних, нанесених на папір; і

b) були прийнятними в якості доказів у судочинстві.

2. Держави-члени забезпечують, неможливість позбавлення електронного підпису юридичної сили і прийнятності в якості доказу у судочинстві лише на тій підставі, що він:

- виконаний у електронній формі, чи

- не заснований на чинному сертифікаті, чи

- не заснований на чинному сертифікаті, виданому акредитованим постачальником послуг по сертифікації, чи

- не створений за допомогою безпечного механізму створення підпису.

Стаття 6
Відповідальність

1. Держави-члени, принаймні, забезпечують, щоб постачальник послуг по сертифікації, видаючи сертифікат громадськості в якості чинного сертифікату чи гарантуючи такий сертифікат, несе відповідальність за шкоду, заподіяну будь-якій юридичній чи фізичній особі, яка вмотивовано покладалися на цей сертифікат:

а) стосовно точності всієї інформації на час видачі, яка міститься у чинному сертифікаті і стосовно того факту, що сертифікат містить всі деталі, необхідні для чинного сертифікату;

b) для впевненості в тому, що на час видачі сертифікату особа, що підписалась, ідентифікований у чинному сертифікаті, володів даними, що створюють підпис, які співвідносяться із існуючими чи такими, що ідентифікуються в сертифікаті, даними для перевірки підпису;

с) для впевненості у тому, що дані, що створюють підпис, і дані для перевірки підпису можуть бути використані як взаємодоповнюючі у випадках, якщо постачальник послуг по сертифікації розробив їх обох;

якщо постачальник послуг по сертифікації не доведе, що він діяв обережно.

2. Держави-члени, принаймні, забезпечують, що постачальник послуг по сертифікації, який видавав громадськості сертифікат в якості чинного сертифікату, несе відповідальність за шкоду, заподіяну будь-якій юридичній чи фізичній особі, яка вмотивовано покладалась на сертифікат, яка виникла внаслідок неспроможності зареєструвати анулювання сертифікату, якщо постачальник послуг по сертифікації не доведе, що він діяв обережно.

3. Держави-члени забезпечують можливість для постачальника послуг по сертифікації вказувати у чинному сертифікаті обмеження на використання цього сертифікату, обумовлюючи визнання цих обмежень третіми сторонами. Постачальник послуг по сертифікації не несе відповідальності за шкоду, що виникає внаслідок використання чинного сертифікату, яка перевищує обмеження, передбачені в сертифікаті.

4. Держави-члени забезпечують, що постачальник послуг по сертифікації може вказувати у чинному сертифікаті на обмеження вартості операцій, для яких може використовуватись сертифікат, за умови, що таке обмеження визнається третіми сторонами.

Постачальник послуг по сертифікації не несе відповідальності, що виникає внаслідок перевищення цього максимального обмеження.

5. Положення пунктів 1-4 без перешкод застосовуються до Директиви Ради 93/13/ЄЕС від 5 квітня 1993 року про нечесні умови контрактів, укладених споживачами (8).

___________________

(8) OJ L 95, 21.04.1993, р. 29.

Стаття 7
Міжнародні аспекти

1. Держави-члени забезпечують, що сертифікати, видані постачальником послуг по сертифікації, заснованим на території третьої держави, в якості чинних сертифікатів громадськості, визнаються еквівалентними з юридичної точки зору сертифікатам, виданим постачальником послуг по сертифікації, заснованим на території однієї з держав Співтовариства, якщо:

а) постачальник послуг по сертифікації виконає вимоги, передбачені цією Директивою, та був уповноважений відповідно до системи добровільної акредитації, встановленої на території держави-члени ; або

b) постачальник послуг по сертифікації, заснований на території однієї з держав Співтовариства, який виконує вимоги, передбачені в цій Директиві, гарантує видання сертифікату; або

с) сертифікат або постачальник послуг по сертифікації визнаний двосторонньою чи багатосторонньою угодою між Співтовариством та третіми державами, або міжнародними організаціями.

2. З метою полегшення транскордонного надання послуг по сертифікації із третіми державами та правове визнання вдосконалених електронних підписів, поставлених у третій державі, Комісія, якщо це необхідно, вносить пропозиції щодо ефективної імплементації стандартів та міжнародних угод, що застосовуються до послуг по сертифікації. Зокрема, якщо необхідно, вона вносить пропозиції до Ради про надання відповідних повноважень на ведення переговорів про укладення двосторонніх та багатосторонніх угод із третіми державами та міжнародними організаціями. Рада виносить рішення з цього питання кваліфікованою більшістю.

3. Коли б Комісію не повідомляли про будь-які складнощі, з якими стикаються підприємства держав Співтовариства у сфері доступу до ринку третіх державах, вона може, якщо необхідно, вносити пропозиції до Ради щодо винесення відповідного розпорядження про ведення переговорів про порівняльні права для підприємств Співтовариства у цих третіх державах. Рада виносить рішення по цьому питанню кваліфікованою більшістю. Заходи, вжиті відповідно до цього пункту, без перешкод застосовуються до зобов'язань Співтовариства та держав-членів за міжнародними угодами.

Стаття 8
Захист інформації

1. Держави-члени забезпечують виконання постачальниками послуг по сертифікації та державними органами, відповідальними за акредитацію чи нагляд, вимог, передбачених Директивою 95/46/ЄС Європейського парламенту та Ради від 24 жовтня 1995 року про захист осіб від втручання у зв'язку із обробкою особистої інформації та вільним переміщенням такої інформації (9).

2. Держави-члени забезпечують, що постачальник послуг по сертифікації, який видає сертифікати, може отримувати особисту інформацію виключно безпосередньо від суб'єкта інформації або після чіткої згоди суб'єкта інформації і виключно тому, що це необхідно для цілей видачі та збереження в силі сертифікату. Інформація не може збиратись чи оброблятись для будь-яких інших цілей без чіткої згоди суб'єкта інформації.

3. Без перешкод до законної сили, що надається використанню псевдонімів згідно внутрішньому законодавству, держави-члени не перешкоджають постачальникам послуг по сертифікації вказувати в сертифікаті псевдонім особи, що підписалась, замість його справжнього імені. ___________________

(9) OJ L 281, 23.11.1995, р. 31.

Стаття 9
Комітет

1. Комісії надає допомогу "Комітет по електронним підписам", що надалі йменуватиметься як "комітет".

2. У випадку, якщо має місце посилання на цей пункт, застосовуються статті 4 та 7 Рішення 1999/468/ЄС, беручи до уваги положення його статті 8. Термін, передбачений статтею 4(3) Рішення 1999/468/ЄС, встановлюється протягом трьох місяців.

3. Комітет приймає власні правила процедури.

Стаття 10
Завдання комітету

Комітет уточнює вимоги, передбачені в Додатках до цієї Директиви, критерії, про які йдеться в статті 3(4), та загальновизнані стандарти продукції електронних підписів, що встановлені та опубліковані відповідно до статті 3(5) згідно із процедурою, передбаченою в статті 9(2).

Стаття 11
Повідомлення

1. Держави-члени повідомляють Комісію та інші держави-члени про наступне:

а) інформацію про внутрішні системи добровільної акредитації, включаючи будь-які додаткові вимоги згідно статті 3(7);

b) ім'я та адреси як державних органів, відповідальних за акредитацію та нагляд, так і тих органів, про які йдеться в статті 3(4);

с) ім'я та адреси усіх акредитованих державних постачальників послуг по сертифікації.

2. Будь-яка інформація, що подається згідно пункту 1 та змінюється відповідно до тієї інформації, повідомляється державами-членами якомога швидше.

Стаття 12
Перегляд

1. Комісія переглядає дію цієї Директиви та звітує про це Європейському Парламентові та Раді найпізніше - до 19 липня 2003 року.

2. Серед іншого, перегляд містить оцінку доцільності зміни сфери дії цієї Директиви, беручи до уваги технологічний, ринковий та правовий розвиток. Звіт, зокрема, включає в себе оцінку аспектів гармонізації на підставі отриманого досвіду. Звіт супроводжується, якщо необхідно, законодавчими пропозиціями.

Стаття 13
Імплементація

1. Держави-члени надають чинності законам, постановам та адміністративним положенням, необхідним для узгодження із цією Директивою до 19 липня 2001 року. Вони невідкладно повідомляють про це Комісію.

Після прийняття державами-членами цих актів, вони містять посилання на цю Директиву чи супроводжуються таким посиланням під час їх офіційної публікації. Методи таких посилань передбачаються державами-членами.

2. Держави-члени повідомляють Комісію про текст основних положень внутрішнього законодавства, прийнятого в сфері, яка регулюється цією Директивою.

Стаття 14
Набуття чинності

Ця Директива набуває чинності в день її публікації в Офіційному журналі Європейських Співтовариств.

Стаття 15
Адресати

Ця Директива адресується державам-членам.

Вчинено в Брюсселі, 13 грудня 1999 року.

За Європейський Парламент Президент Н. Фонтен

За Раду Президент С. Хассі

Додаток I
Вимоги до чинних сертифікатів
Чинні сертифікати повинні містити:

а) вказівку на те, що сертифікат виданий в якості чинного сертифікату;

b) ідентифікацію постачальника послуг по сертифікації та держави, в якій засноване його підприємство;

с) ім'я особи, що підписалась, чи її псевдонім, який ідентифікується, як такий;

d) забезпечення особливої ознаки особи, що підписалась, яка включається, залежно від мети, на яку орієнтований сертифікат;

е) дані для перевірки підпису, які відповідають даним, що створюють підпис, під контролем особи, що підписалась;

f) вказівка на початок та закінчення терміну чинності сертифікату;

g) ідентифікаційний код сертифікату;

h) вдосконалений електронний підпис постачальника послуг по сертифікації;

і) обмеження сфери використання сертифікату, якщо таке застосовується; та

j) обмеження вартості операцій, при здійсненні яких може використовуватись сертифікат, якщо такі застосовуються.

Додаток II
Вимоги до постачальників послуг по сертифікації, що видають чинні сертифікати

Постачальники послуг по сертифікації повинні:

а) демонструвати надійність, необхідну для постачання послуг по сертифікації;

b) забезпечувати функціонування швидкого та безпечного надання довідкових послуг та невідкладне й безпечне анулювання послуг;

с) забезпечувати чітке визначення дати й часу видачі і анулювання сертифікату;

d) перевіряти за допомогою відповідних засобів згідно внутрішньому законодавству ідентичність та, якщо таке застосовується, будь-які особливі ознаки особи, якій видається сертифікат;

е) наймати штат осіб, що мають спеціальні знання, досвід та кваліфікацію, необхідну для послуг, що надаються, зокрема, компетентних осіб на рівні управління, експертизи у технології електронних підписів та обізнаних із правилами безпеки; вони також повинні застосовувати адміністративні правила та правила процедури, адекватні та такі, що відповідають визнаним стандартам;

f) використовувати достовірні системи та продукцію, захищені від модифікацій та забезпечувати технічну та криптографічну безпеку процесу, що ними забезпечується;

g) вживати заходів проти підробки сертифікатів та, у випадках, якщо постачальник послуг по сертифікації виробляє дані, що створюють підпис, гарантувати конфіденційність під час вироблення таких даних;

h) підтримувати достатні фінансові ресурси для здійснення діяльності відповідно до вимог, передбачених цією Директивою, зокрема, нести ризик відповідальності за шкоду, заподіяну, наприклад, шляхом отримання відповідного страхування;

і) записує всю інформацію, що стосується видачі чинних сертифікатів протягом відповідного періоду часу, зокрема, з метою надання доказів сертифікації в цілях судочинства. Такі записи можуть здійснюватись електронним шляхом;

j) не зберігати чи копіювати дані, що створюють підпис, про особу, якій постачальник послуг по сертифікації надав основні послуги з управління (менеджменту);

k) до того, як вступати в договірні відносини з особою, яка прагне отримати сертифікат, що засвідчує її електронний підпис, повідомляє таку особу через надійні засоби зв'язку про точні терміни та умови використання сертифікату, включаючи будь-які обмеження його використання, існування системи добровільної акредитації та процедури подання скарг та врегулювання спорів. Така інформація, що може надаватись в електронному вигляді, повинна бути подана в письмовому вигляді та викладена добре зрозумілою мовою. Відповідні частини цієї інформації також мають бути доступними на запит третіх сторін, які покладаються на сертифікат;

l) використовувати надійні системи зберігання сертифікатів у такій формі, яка підлягає перевірці з тим, щоб:

- лише уповноважені особи могли здійснювати введення даних та їх змінювати,

- забезпечувалась можливість перевірки інформації на достовірність,

- сертифікати відкриті для внесення в них коригувань лише у тих випадках, у яких отримано згоду власників сертифікатів, та

- будь-які технічні зміни, що загрожують цим вимогам безпеки, були очевидні для оператора.

Додаток III
Вимоги до безпечних механізмів створення підпису

Безпечні механізми створення підпису повинні за допомогою відповідних технічних та процедурних засобів забезпечувати принаймні, що:

а) дані, які використовуються для вироблення підпису, можуть виникнути на практиці лише один раз, а їх секретність забезпечується;

b) дані, які використовуються для вироблення підпису, із значною долею впевненості не можуть вилучатися з цих механізмів, а підпис захищається від підробки за допомогою використання доступних технологій;

с) дані, що створюють підпис, які використовуються для вироблення підпису, можуть бути надійно захищені законною особою, що підписалась від використання його іншими особами.

2. Безпечні механізми створення підпису не повинні змінювати інформацію, що має бути підписана чи перешкоджати представленню такої інформації особі, що підписалась до процесу підписання.

Додаток IV
Рекомендації для забезпечення перевірки підпису

Під час процесу перевірки підпису із вмотивованою впевненістю має забезпечуватись, що:

а) дані, що використовуються для перевірки підпису, відповідають інформації, що надається контролюючому пристрою;

b) підпис надійно перевіряється, а результат такої перевірки виводиться на екран;

с) контролюючий пристрій може, у випадку необхідності, точно встановлювати зміст підписаної інформації;

d) дійсність сертифікату, що вимагається під час перевірки підпису, ретельно перевіряється;

е) результат перевірки та ідентичність підпису виводяться на екран;

f) використання псевдоніму чітко вказується; та

g) будь-які зміни, що стосуються безпеки, можуть бути виявлені.

Офіційний журнал L 013, 19/01/2000 р. 0012 - 0020

Переклад здійснено Центром перекладів актів Європейського права при міністерстві юстиції України.