Мудрый Юрист

Страхование ответственности удостоверяющих центров

Лебединов Александр Павлович, заместитель директора Центра страховых программ ОАО "СК "Альянс".

Статья посвящена совершенно новому в отечественной практике виду страхования. Его появление на страховом рынке обусловлено положениями Федерального закона "Об электронной подписи". В статье делается попытка анализа ключевых формулировок, используемых в соответствующих договорах страхования, уточнения оснований возникновения ответственности удостоверяющего центра и круга потенциальных выгодоприобретателей по договору страхования. Затрагивается также вопрос о типовых правилах, на основе которых целесообразнее осуществлять реализацию данного страхования.

Ключевые слова: удостоверяющий центр; электронная подпись; аккредитация удостоверяющего центра; финансовое обеспечение ответственности; реестр сертификатов ключа проверки электронной подписи; компрометация ключа электронной цифровой подписи.

Certifying centers' liability insurance

A.P. Lebedinov

Lebedinov Aleksandr Pavlovich, Deputy Director of Insurance Programs Center of OJSC IC Allianz.

The article is dedicated to the completely new to Russian practice type of insurance. Its emergence on insurance market is based on provisions of the Federal Law "On electronic signature". The author attempts to analyze key terms used in relative insurance contracts, clarify grounds for certifying center's liability and potential beneficiaries under insurance contracts. The issue on general rules under which it is recommended to provide this type of insurance is touched in the article.

Key words: certifying center; electronic signature; certifying center's accreditation; financial coverage of liability; electronic signature verifying key certificate register; electronic signature key discredit.

Можно ожидать, что в самое ближайшее время спектр видов страхования ответственности при осуществлении профессиональной деятельности вполне может пополниться еще одним новым: страхованием ответственности удостоверяющих центров (УЦ).

В соответствии с п. 3 ст. 13 Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" <1> "удостоверяющий центр в соответствии с законодательством Российской Федерации несет ответственность за вред, причиненный третьим лицам в результате:

<1> СЗ РФ. 2011. N 15. Ст. 2036.
  1. неисполнения или ненадлежащего исполнения обязательств, вытекающих из договора оказания услуг удостоверяющим центром;
  2. неисполнения или ненадлежащего исполнения обязанностей, предусмотренных настоящим Федеральным законом".

В соответствии со ст. 16 указанного Закона "аккредитация удостоверяющего центра осуществляется при условии выполнения им следующих требований...

  1. наличия финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном таким удостоверяющим центром, или информации, содержащейся в реестре сертификатов, который ведет такой удостоверяющий центр, в сумме не менее чем полтора миллиона рублей;".

Интересно сопоставить основания возникновения ответственности УЦ, содержащиеся в ст. 13 Закона, и номенклатуру возможных ситуаций, применительно к которым требуется иметь финансовое обеспечение за убытки, причиненные третьим лицам, приведенную в ст. 16 Закона. Другими словами, возникают ли убытки у третьих лиц только вследствие "доверия" (надо полагать - неоправдавшегося) к информации, указанной в сертификате ключа проверки электронной подписи и (или) содержащейся в реестре сертификатов, или они возникают и в других ситуациях, влекущих возникновение ответственности, однако применительно к этим другим ситуациям финансового обеспечения не требуется?

Представляется, что ответить на поставленный вопрос можно будет только по мере появления опыта привлечения удостоверяющих центров к ответственности - опыта, которого пока еще нет.

В соответствии с п. 6 Правил аккредитации удостоверяющих центров, утвержденных Приказом Министерства связи и массовых коммуникаций РФ (уполномоченного федерального органа, осуществляющего аккредитацию удостоверяющих центров) от 23 ноября 2011 г. N 320 "Об аккредитации удостоверяющих центров" <2>, "к заявлению (об аккредитации. - Прим. авт.) прилагаются следующие документы:

<2> Российская газета. 2012. 18 мая.
  1. документ, подтверждающий наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном таким УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем полтора миллиона рублей. Таким документом может являться:

Таким образом, в соответствии с данным Приказом появляется новая тема - возможное страхование ответственности удостоверяющих центров.

Отметим особенности терминологии, использованной в Законе "Об электронной подписи": в п. 3 ст. 13 говорится об ответственности за вред, причиненный третьим лицам, в то же время в п. 3 ст. 16 - об ответственности за убытки, причиненные третьим лицам. Однако и там и там речь идет именно (и только) о третьих лицах, которые, как можно полагать, исходя из общих норм гражданского права, не состоят ни в каких договорных отношениях с удостоверяющим центром.

В комментарии к Федеральному закону "Об электронной подписи" раскрывается механизм возможного причинения указанных убытков третьим лицам: "В отношениях между удостоверяющим центром и владельцем СКП (сертификата ключа подписи. - Прим. авт.) в сфере использования ЭП (электронной подписи. - Прим. авт.) последний является потребителем услуги, некачественное исполнение которой (например, некорректная работа ЭП) может принести ущерб владельцу ЭКП и иным участникам электронного взаимодействия (третьим лицам). Иными словами, удостоверяющий центр выступает технической стороной (посредником) обеспечения отношений в электронной форме владельца СКП с третьими лицами, и от надежности работы ЭП зависит результат таких отношений" <3>.

<3> Комментарий к Федеральному закону от 6 апреля 2011 г. "Об электронной подписи" // СПС "КонсультантПлюс".

В то же время возможное причинение вреда или убытков третьим лицам связывается, в частности, в соответствии с п. 3 ст. 13 Закона с "неисполнением или ненадлежащим исполнением обязательств, вытекающих из договора оказания услуг удостоверяющим центром", результатом которого вполне может стать возникновение убытков не только у третьих лиц, но и у "клиентов" удостоверяющего центра - владельцев ключей электронной подписи. Очевидно, что указанная ответственность является ответственностью по договору, поэтому возможное страхование ее регулируется ст. 932 ГК РФ, т.е. допускается лишь в случаях, предусмотренных законом. В тексте Закона "Об электронной подписи" какое-либо упоминание о возможности использования механизма страхования отсутствует. Тем самым легитимная потенциальная возможность страхования ответственности удостоверяющего центра перед своими клиентами Законом не предусмотрена. В сочетании с тем, что в Законе речь идет только о причинении вреда (убытков) третьим лицам, вполне возможно полагать (считая это явно выраженным волеизъявлением законодателя), что предусмотренное ст. 16 Закона финансовое обеспечение ответственности удостоверяющего центра предназначено для компенсации возможных убытков только и исключительно третьих лиц. Соответственно и страхование ответственности (как одна из возможных форм указанного финансового обеспечения ответственности), предусматриваемое уже упомянутым Приказом Министерства связи и массовых коммуникаций РФ, не распространяется на ответственность удостоверяющего центра перед своими клиентами.

Все это было бы так, если бы уже в течение длительного времени на практике применительно ко многим видам страхования ответственности при осуществлении профессиональной деятельности термин "третьи лица" не истолковывался бы весьма расширительно (с включением в этот круг и заказчиков соответствующих профессиональных услуг, оказываемых на основании договора). В качестве примера можно привести страхование ответственности аудиторов (в том числе и в отношении заказчиков по проведению аудита и оказанию услуг, сопутствующих аудиту), страхование ответственности оценщиков (индивидуальных предпринимателей и оценочных организаций - в отношении заказчиков услуг по проведению оценки), страхованию ответственности регистраторов перед эмитентами и т.д. Все отмеченные виды страхования не один год реализовывались и продолжают реализовываться в настоящее время по одной и той же схеме с использованием следующих отработанных формулировок в соответствующих договорах страхования:

Подобная многолетняя практика в определенной мере осложняет восприятие термина "третьи лица", использованного в указанном Законе, в его, так сказать, "каноническом" правовом значении, с исключением из этого круга всех клиентов удостоверяющего центра. В этом случае следует констатировать, что законодатель установил по отношению к удостоверяющему центру (в целях его аккредитации) требование иметь финансовое обеспечение его ответственности в размере полутора миллионов рублей только и исключительно перед третьими лицами. Перед своими же клиентами удостоверяющий центр несет обычную гражданско-правовую ответственность, не покрываемую какими-либо финансовыми гарантиями, и при ее наступлении должен будет возместить убытки клиентов из собственных средств.

Насколько однозначно такая трактовка соответствующих положений закона будет восприниматься самими удостоверяющими центрами (в части исключения из круга третьих лиц их клиентов и готовности покрывать убытки клиентов за счет собственных средств), покажет только практика. Потенциально возможные сложности применительно к описанной ситуации можно проиллюстрировать на следующем конкретном примере. Депозитарий, в течение длительного времени страховавший свою ответственность при осуществлении профессиональной деятельности в качестве профучастника рынка ценных бумаг, начинает оказывать своим клиентам в соответствии с Законом "Об электронной подписи" дополнительные услуги в качестве удостоверяющего центра и в целях аккредитации в соответствии с требованиями Закона и п. 6 упоминавшегося Приказа желает в целях предоставления требуемого финансового обеспечения застраховать свою ответственность перед третьими лицами. Получив разъяснение страховщика, что это можно сделать, но в круг указанных третьих лиц не будут входить клиенты депозитария в рамках его деятельности в качестве удостоверяющего центра, страхователь с недоумением интересуется, каким же тогда образом в круг третьих лиц - выгодоприобретателей (по договору страхования ответственности депозитария) всегда входили и входят депоненты (т.е. такие же клиенты депозитария при осуществлении им собственно депозитарной деятельности, ответственность депозитария перед которыми носит точно такой же договорный характер). Соответствующее страхование осуществляется на отечественном рынке уже не менее 10 лет. По мнению страхователя, отказ включать в число выгодоприобретателей клиентов удостоверяющего центра означает, что принципиальность страховщика носит некий избирательный характер. Вот какую злую шутку может сыграть давно укоренившаяся на отечественном рынке практика страхования договорной ответственности, маскируемого под страхование ответственности за причинение вреда третьим лицам.

Переходя от обсуждения общей давней проблемы к более частным вопросам, следует остановиться, по нашему мнению, на рассмотрении рисков (возможных причин наступления ответственности), характерных для указанного страхования.

"В целях единообразного применения положений Федерального закона от 6 апреля 2011 г. N 63-ФЗ и Приказа Минкомсвязи России от 23 ноября 2011 г. N 320 "Об аккредитации удостоверяющих центров" Минкомсвязь России сообщает следующее...

Страховым случаем по договору страхования, в соответствии с подпунктом 2 части 3 статьи 16 Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" и подпунктом 1 пункта 7 Приказа Министерства связи и массовых коммуникаций Российской Федерации от 23 ноября 2011 г. N 320 "Об аккредитации удостоверяющих центров", является факт наступления ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном таким удостоверяющим центром (страхователем), или информации, содержащейся в реестре сертификатов, который ведет такой удостоверяющий центр (страхователь)" <4>.

<4> http://minsvyaz.ru/ru/directions/?regulator=118

Таким образом, приведенное определение страхового случая дословно повторяет формулировку, содержащуюся в пп. 2 ч. 3 ст. 16 Закона, не добавляя ничего нового в целях достижения объявленного единообразного применения положений Закона.

Невозможно не отметить, что здесь мы сталкиваемся с абсолютно новой формулировкой страхового случая при страховании ответственности, которая связывает его наступление не с действиями страхователя (какими-либо его непреднамеренными ошибками (небрежностью, упущением) - как это делается применительно к другим видам страхования ответственности), а с "действием" самих пострадавших третьих лиц (их "доверием" к чему-либо).

Для сравнения и иллюстрации изложенного приведем несколько формулировок страхового случая из других федеральных законов:

Примеры можно было бы приводить и дальше, но и из уже приведенных вполне очевидно, о каком принципиальном различии идет речь.

В тексте "образца договора страхования ответственности", к которому отсылает нас сайт Минсвязи РФ, формулировка страхового случая, однако, является уже более традиционной:

"2.1. Страховым случаем является понесение (так в тексте договора. - Прим. авт.) третьими лицами (Выгодоприобретателями) убытков вследствие недостатков деятельности Страхователя, предусмотренной пунктом 1.1 настоящего договора, выразившееся в предоставлении Выгодоприобретателю:

<5> http://minsvyaz.ru/common/upload/publication/Obrazets_DOGOVORA_STRAKHOVANIYA_07.06.doc

Однако и здесь ничего конкретного на тему "происхождения" указанной недостоверной информации (в связи с чем она появилась) не сказано (кроме общей ссылки на "недостатки деятельности Страхователя"). По нашему мнению, данное обстоятельство указывает на недостаточную методологическую проработанность указанного страхования.

В литературе встречаются следующие основания для возникновения гражданско-правовой ответственности удостоверяющего центра:

внесение в сертификат неверных сведений, отличных от указанных в заявке на его получение;

несвоевременная публикация списков аннулированных сертификатов, действие которых приостановлено;

несвоевременное внесение сертификата ключа подписи в реестр сертификатов ключей подписей;

компрометация закрытого ключа электронной цифровой подписи УЦ;

отказы и сбои технических и программных средств, реализующих поддержку технологии ЭЦП, возникшие по вине УЦ;

ошибочные неумышленные действия персонала УЦ;

несанкционированные действия персонала УЦ;

невыполнение требования по размещению и монтажу оборудования <6>.

<6> См.: Левчук И.В. Страхование удостоверяющих центров: Доклад на V Международной конференции "Право и Интернет: теория и практика" // http://www.ifap.ru/pi/05/levchuk.htm.

Очевидно, что первые четыре позиции, приведенные в качестве оснований возникновения ответственности УЦ, очень хорошо коррелируют с формулировками п. 3 ст. 16 Закона "Об электронной подписи".

Практика показывает, что пятая позиция также весьма актуальна применительно к высокотехнологичным видам профессиональной деятельности. В качестве аналога можно привести формулировку риска, в обязательном порядке присутствующего в соответствии с требованиями ПАРТАД в договорах страхования ответственности регистраторов и депозитариев: "Сбои (отказы, нарушения работы) вычислительной техники, программного обеспечения, коммуникационного и иного оборудования, используемого страхователем при осуществлении застрахованной деятельности" <7>.

<7> http://www.partad.ru/materialy/all/insurance/usl_reg_new.html

В отношении риска, соответствующего шестой позиции, можно сказать, что это не что иное, как риск непреднамеренных ошибок (небрежности, упущения) работников УЦ - наиболее типичный риск при страховании ответственности. Однако его присутствие в вышеприведенном перечне в качестве отдельной самостоятельной позиции во многом нарушает общую логику указанного перечня рисков, так как риск ошибочных неумышленных действий персонала УЦ во многом (если не в основном) является причиной наступления неблагоприятных последствий, перечисленных в первых четырех позициях данного перечня.

Представляется, что формулировка риска, указанного в позиции N 7, также не является безукоризненной с точки зрения целостного восприятия всего приведенного перечня. Во-первых, позиция N 7 включает в качестве составной части позицию N 6, так как ошибочные неумышленные действия персонала УЦ также следует отнести к категории несанкционированных. Во-вторых, несанкционированные действия персонала могут включать в себя и умышленные действия, которые, безусловно, могут повлечь наступление ответственности, но будут относиться к перечню исключений применительно к страхованию. И, наконец, в-третьих, в такой формулировке отсутствует привязка указанных действий к следуемым за ними неблагоприятным последствиям для третьих лиц (т.е. указана первичная причина, но отсутствует характеристика отрицательного конечного результата).

Отметим, что формулировка позиции N 8 представляется в приведенной редакции вообще непонятной: о невыполнении какого именно требования (в связи с чем и от кого исходящего) идет речь, как и почему в связи с этим может возникнуть ответственность УЦ?

Следующим немаловажным вопросом применительно к данному страхованию является вопрос о том, что понимать под убытками третьих лиц, которые должны быть возмещены посредством выплаты страхового возмещения. Разъяснения, приведенные на сайте Минсвязи РФ, представляют собой дословное цитирование п. 2 ст. 15 ГК РФ и не отражают никакой специфики рассматриваемого вида профессиональной деятельности.

Образец договора страхования, на который делается отсылка с сайта Минсвязи РФ, содержит следующую формулировку: "2.2.1. Страхователь обязан возместить убытки, указанные в пункте 2.1 в соответствии с требованиями действующего законодательства Российской Федерации" <8>. Однако п. 2.1 этого образца (см. выше его формулировку) содержит описание не убытков, а лишь возможных причин их появления. Таким образом, следует сделать вывод, что вопрос о характере возможных убытков третьих лиц, которые должны быть возмещены посредством данного страхования, на сегодняшний день также совершенно не проработан.

<8> http://minsvyaz.ru/common/upload/publication/Obrazets_DOGOVORA_STRAKHOVANIYA_07.06.doc

Весьма значимым, по-видимому, является также вопрос: на основе каких именно правил страхования целесообразно вести разработку договора страхования ответственности УЦ? В п. 1.1 уже упоминавшегося образца указано: "Страхование ответственности производится в соответствии с Правилами страхования ответственности товаропроизводителей, продавцов, исполнителей работ, услуг Страховщика" <9>. По-видимому, это вполне возможно. Например, с использованием подобных Правил уже целый ряд лет вполне успешно реализуется на рынке страховой продукт "Страхование гражданской ответственности за причинение вреда вследствие недостатков бухгалтерских услуг".

<9> См.: Там же.

Представляется, что наряду с указанными Правилами для разработки договора вполне могут быть использованы и Правила страхования профессиональной ответственности с их следующими весьма общими формулировками, пригодными для широкого спектра ситуаций:

"По настоящим Правилам может быть застрахован риск ответственности юридических лиц любой организационно-правовой формы или физических лиц - индивидуальных предпринимателей, осуществляющих профессиональную деятельность, в том числе имеющих лицензию или являющихся соискателями лицензии на осуществление конкретного вида профессиональной деятельности".

"Страховым случаем признается возникновение обязанности Страхователя (Застрахованного лица) возместить вред, причиненный имущественным интересам других лиц, в процессе и (или) в результате осуществления им (его работниками) профессиональной деятельности".

На основе указанных Правил, например, успешно реализуется продукт "Страхование профессиональной ответственности при осуществлении частной охранной и детективной деятельности".

Таким образом, представляется, что создание узкоспециализированных отдельных Правил страхования ответственности удостоверяющих центров для реализации указанного страхования какой-либо острой необходимости не имеет. Специфику соответствующего вида деятельности можно вполне успешно отразить либо непосредственно в тексте договора страхования, либо дополнительных условий к тем или иным уже существующим залицензированным правилам.

Безусловно, для создания полноценного страхового продукта необходимо пройти этап накопления практики привлечения удостоверяющих центров к ответственности, анализа оснований и конкретных причин ее возникновения. Без этого на первых порах указанный продукт (так же, как и любой другой продукт по страхованию ответственности) имеет шанс выглядеть несколько схематичным и умозрительным.

Библиографический список

  1. Комментарий к Федеральному закону от 6 апреля 2011 г. "Об электронной подписи" // СПС "КонсультантПлюс".
  2. Левчук М.В. Страхование удостоверяющих центров: Доклад на V Международной конференции "Право и Интернет: теория и практика" // http://www.ifap.ru/pi/05/levchuk.htm.