Проблемы идентификации и аутентификации участников интернет-коммерции: по какому пути идет судебная практика?

| статьи | печать

Сегодня, чтобы получить кредит с помощью интернета, достаточно заполнить заявку с указанием своих паспортных данных. Но что будет, если персональные данные заемщика попадут в руки других лиц? Ведь если не требуется личного присутствия стороны договора, то теоретически любой злоумышленник, знающий персональные данные другого лица, может действовать от его имени. Злоумышленник может покупать товары в кредит или брать денежные займы, а обязанным по этим договорам будет лицо, от имени которого действовал преступник. И судебная практика в большинстве случаев складывается вовсе не в пользу обычных пользователей сети. Подробнее — в материале.

Получить данные о пользователях сети Интернет проще, чем кажется. Например, злоумышленник может взломать электронную почту другого лица и из содержания писем узнать, например, паспортные данные. Причем большинство пользователей даже не будут знать о том, что их почта была взломана.

Стоит отметить, что смоделированная ситуация не является оторванной от реальной жизни. Случаи мошенничества с договорами займа в сети Интернет вполне распространены1.

Различия между идентификацией и аутентификацией

Достаточно серьезной и болезненной проблемой правового регулирования интернет-торговли является проблема субъектного состава участников данных отношений.

Дело в том, что в реальной жизни происходит живое общение покупателя с продавцом. Они видят друг друга, идентифицируют друг друга и, подписывая договор, имеют возможность убедиться, что его подписал именно этот покупатель и именно этот продавец.

В сети Интернет все иначе. Общение между сторонами происходит дистанционно, и, как правило, у них отсутствует возможность увидеть друг друга. В этом случае стороны идентифицируют устройство, с помощью которого другая сторона производит действия. Обычно такая идентификация производится с помощью набора групп цифр — так называемому IP-адресу. Однако определить устройства, с которых происходит взаимодействие сторон, не значит определить конкретное лицо, которое общается при помощи данного устройства.

В связи с этим стоит разделять понятия «идентификация» и «аутентификация» пользователя. Идентификация подразумевает определение профиля пользователя в интернете или технического устройства, используемого для выхода в интернет. Как правило, идентификация происходит по IP-адресу или иному «техническому следу», который оставляет устройство (чаще всего это компьютер) в интернете. Также идентификация проводится с помощью установления ФИО профиля пользователя в интернете или паспортных данных, использовавшихся пользователем для создания этого профиля. Аутентификация направлена на определение конкретного гражданина, использующего устройство для выхода в интернет. Универсальных и стопроцентных способов аутентификации на сегодняшний день не существует. Всегда есть риск того, что онлайн-профилем пользователя или компьютерным устройством пользуется иное лицо.

Несмотря на, казалось бы, внешнюю схожесть понятий, они имеют кардинальные различия не только для теории права, но и для практических судебных кейсов.

В том случае, когда договор в сети Интернет был заключен без проблем и стороны добросовестно исполнили свои обязательства, проблема идентификации и аутентификации сторон никого не волнует. Проблемы начинают возникать в случае недобросовестного поведения сторон.

Например, пользователь — физическое лицо через интернет заказал товар с доставкой на дом с оплатой при получении товара. При этом заказ оформлялся путем заполнения простой формы без электронно-цифровой подписи. Представитель продавца выезжает по указанному адресу, а на месте выясняет, что никто ничего не заказывал. Между тем продавец уже понес расходы на доставку товара. Вполне логично, что продавцу хотелось бы возместить свои расходы за счет лица, сделавшего заказ. Возникает вопрос: можно ли привлечь пользователя, сделавшего заказ, к ответственности путем вычисления его местоположения по IP-адресу? Однако за этим вопросом следует другой, более сложный вопрос. Если продавец вычислит конкретное устройство, с которого осуществлялся заказ, сможет ли он установить конкретное лицо, которое с установленного устройства сделало заказ?

Как складывается практика

От гипотетических примеров перейдем к реальным судебным спорам.

Достаточно распространенным негативным явлением является кража персональных данных или документов граждан с целью последующего заключения от их имени в сети Интернет гражданско-правовых договоров, направленных на получение денежных средств или товаров.

Одним из таких случаев стало дело, рассмотренное Нагатинским районным судом г. Москвы.

Пример из практики

Гражданин узнал о том, что на его имя был оформлен кредит в ООО МФК «Лайм-Займ». Он попытался признать незаключенным договор займа, который, по утверждениям, был заключен между ним и указанной микрофинансовой компанией посредством сети Интернет. В судебном порядке гражданину удалось доказать, что договор займа был заключен неизвестными ему лицами с использованием паспортных данных истца в интернет-кафе.

Апелляционное определение Московского городского суда от 20.09.2016 по делу № 33-37312/2016

Еще одно дело из гражданско-правового разбирательства переросло в уголовно-правовую сферу с последующим уголовным наказанием для злоумышленников.

Пример из практики

В производстве Московского городского суда находилось уголовное дело в отношении группы лиц, которые, используя чужие паспортные данные, заключили от имени 12 лиц многочисленные кредитные договоры, а также ряд договоров купли-продажи товаров в рассрочку. Все указанные договоры были заключены посредством сети Интернет, а получателями денежных средств и товаров по указанным договорам являлись злоумышленники. В указанном случае правоохранительным органам удалось доказать преступные действия злоумышленников, а все претензии банков и магазинов к пострадавшим были сняты.

Постановление Московского городского суда от 25.05.2017 № 4у-2773/2017

В обоих случаях, очевидно, произошла кража персональных данных граждан и совершение от их имени сделок в сети Интернет, что удалось доказать в ходе судебного разбирательства. Однако рассматриваемые случаи являются скорее исключениями, продиктованными особенностями тех или иных дел.

Так, в первом случае немаловажную роль сыграл тот факт, что заявка на заключение договора была подана из интернет-кафе, а сам истец являлся директором крупной строительной компании, что ставит под сомнение его нежелание или неспособность произвести оплату по относительно некрупному договору займа микрофинансовой компании. Во втором кейсе немаловажную роль сыграл массовый характер преступлений, что привело к обоснованным доводам следователей о мошеннических действиях и необходимости возбуждения уголовного дела.

В большинстве же случаев людям, к сожалению, не удается доказать, что те или иные действия в сети Интернет были совершены не ими.

Пример из практики

В одном из дел гражданину не удалось доказать факт того, что он не заключал в сети Интернет кредитный договор и не снимал денежные средства с кредитной карты, даже несмотря на то, что подпись на документах, свидетельствующих о получении денежных средств, стояла не его.

Апелляционное определение Московского городского суда от 08.02.2018 по делу № 33-5327/2018

В таких делах суды, как правило, ссылаются на то, что при заключении договоров в сети Интернет гражданин сообщил данные, которые были известны только ему (например, паспортные данные, пароль или логин), вследствие чего судьи признают доказанным факт заключения договора конкретным гражданином, не желая допускать и исследовать то, что указанные данные могли быть украдены злоумышленниками, а воля гражданина отнюдь не была направлена на заключение оспариваемого договора.

Исходя из проанализированной судебной практики, можно сделать вывод, что правоприменители занимаются только идентификацией сторон и лишь в редких случаях проводят аутентификацию. Такой подход привел к тому, что суды фактически применяют презумпцию совершения тех или иных действий в сети Интернет конкретным пользователем, а доказательство обратного возлагается на самого пользователя. Поэтому в рассматриваемом аспекте следует говорить о таком принципе правового регулирования интернет-коммерции в РФ, как принцип презумпции личности пользователя в интернет-пространстве.

Суть указанного принципа состоит в следующем: презюмируется, что личность, которую участник правоотношений в сети Интернет выдает за свою собственную, соответствует личности этого лица в реальной жизни, пока не доказано обратное. Также презюмируется, что техническим устройством в интернете пользуется собственник этого устройства. Соответственно, у стороны в правоотношениях имеются все основания полагать, что она взаимодействует с надлежащим контрагентом в сети Интернет только лишь с той разницей, что взаимодействие их происходит дистанционно.

Стоит заметить, что принцип презумпции личности стороны в сети Интернет является одним из важнейших принципов, вытекающих из основных признаков сети Интернет. Поскольку интернет — это удаленное пространство, исключающее непосредственный прямой контакт лиц друг с другом, именно в отсутствие этого контакта стороны вынуждены полагаться на то, что их контрагент действительно тот, кем он сам представляется.

Однако стоит сразу оговориться, что данная презумпция имеет место при соблюдении ряда важных условий. Для того чтобы «доверие» стороны было обоснованным, другая сторона должна представить ряд доказательств, позволяющих идентифицировать участника интернет-коммерции в реальной жизни. В большинстве случаев к таким доказательствам относятся паспортные данные лица. Если же речь идет о регулярном взаимодействии с контрагентом на его интернет-портале с возможностью регистрации, то к таким данным относятся логин и пароль пользователя. В определенных случаях, установленных законом, лицу необходимо использовать электронно-цифровую подпись (см., например, Федеральный закон от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»; постановление Правления ПФ РФ от 16.01.2014 № 2п; письмо Минфина России от 02.09.2014 № 03-03-06/1/43920).

Что примечательно, приведенная практика гражданско-правовых судов по установлению личности пользователя на основании использования его логина и пароля охотно была внедрена правоохранительными органами в уголовно-правовые разбирательства. В качестве примера можно привести достаточно показательное дело об осуждении судом 62-летнего мужчины, обвиненного в экстремизме, за совершение в социальной сети «ВКонтакте» репоста открытого письма публициста Бориса Стомахина, признанного экстремистским материалом2.

Показательным данное дело является по той причине, что сам подсудимый утверждал, что не размещал никаких публикаций у себя на странице, а доступ к его аккаунту в силу небольших познаний им специфики интернета имело неограниченное количество людей. Учитывая немалый возраст обвиняемого, его показания кажутся вполне правдивыми. Между тем суд посчитал иначе, поскольку репост был осуществлен пользователем, авторизированным под логином и паролем, ранее переданными подсудимому.

Можно ли защитить пользователей

На примере приведенного судебного дела про репост в социальной сети «ВКонтакте», выводы которого в отношении презумпции личности пользователя по существу дублируют выводы, изложенные в практике судов, рассматривающих гражданско-правовые споры, можно увидеть слабое место реализации рассматриваемого принципа и всех правоотношений в сети Интернет.

Любое существующее сегодня средство аутентификации пользователя может быть украдено или подделано. Поэтому нет стопроцентной гарантии, что, заключая договор в сети Интернет, лицо заключает его именно с тем контрагентом, с которым заключение договора запланировано. Другой вопрос касается степени сложности взлома или воровства того или иного инструмента аутентификации.

В рассматриваемом вопросе интересной представляется позиция Л. Лессига относительно идентификации пользователя. Он предлагает использовать биометрические данные (отпечатки пальцев или сканирование глаз) в качестве способа идентификации пользователя. Более того, Лессиг утверждает, что в некоторых внутренних сетях (организация под названием Интранет) такие методы определения граждан уже давно используются, что позволяет распространить данные правила и на пользователей сети Интернет3.

Украсть и подделать те же биометрические данные или электронно-цифровую подпись — крайне дорогостоящая и сложная процедура. Поэтому вряд ли этим будут заниматься злоумышленники ради воровства нескольких тысяч рублей у ничего не подозревающих пользователей.

С другой стороны, носить с собой постоянно большие дорогостоящие устройства биометрической аутентификации обычные граждане, скорее всего, не будут. Повсеместное же внедрение практики Лессига рискует усложнить процесс аутентификации.

Между тем, чрезмерно затрудняя процесс аутентификации пользователя, мы рискуем усложнить взаимоотношения сторон, что затормозит развитие предпринимательских взаимоотношений в сети Интернет и сделает ее менее привлекательной и удобной платформой для взаимодействия. Ведь одной из особенностей интернет-коммерции, сделавшей ее такой популярной платформой для сделок, является мобильность, простота и доступность интернета в обращении. Поэтому одной из важнейших целей реализации принципа презумпции личности пользователя в сети Интернет является нахождение баланса между процессом подтверждения личности пользователя, защитой его прав и простотой реализации механизма аутентификации. Во многом данная задача является технической, а не юридической и лежит не перед правоведами, а перед программистами и инженерами, разрабатывающими способы и устройства аутентификации. Именно эти лица ежедневно совершенствуют механизмы аутентификации, делая их все более простыми и надежными в обращении для пользователей.

Если же говорить о роли юристов в этом процессе, то мы видим следующий выход из сложившейся ситуации. По нашему мнению, представляется целесообразным установить предельную цену договора, который пользователи могут заключать в сети Интернет, чтобы у недобросовестных продавцов пропал стимул совершать сложные и дорогостоящие действия по подделке своей настоящей личности в сети Интернет. Кроме того, представляется необходимым установить особые механизмы аутентификации пользователей при совершении ими сделки в сети Интернет в зависимости от цены договора. Чем больше цена договора, тем более сложными должны быть механизмы аутентификации.

Также представляется необходимым для идентификации продавцов создать особый реестр интернет-предпринимателей, в который в обязательном порядке вносились бы данные о юридическом лице, занимающемся предпринимательской деятельностью в сети Интернет, а также о видах предпринимательской деятельности, которые это лицо может оказывать. В этом реестре необходимо также указывать конкретный электронный адрес в сети Интернет, используемый юридическим лицом для коммерческой деятельности.

На наш взгляд, данные меры, возможно, полностью и не устранят недобросовестных лиц с рынка электронной коммерции, но зато помогут устранить вопиющие и грубейшие случаи мошеннической деятельности в интернете, позволив тем самым повысить эффективность реализации принципа презумпции личности пользователя в сети Интернет.

1 См., например, «Мошенничество с онлайн займами раскрыли в Сочи», опубликовано 12.04.2018, доступно по ссылке https://bankinrussia.ru/news/kibervor-iz-sochi/.

2 См. «Пенсионеру из Чувашии дали два года условно за экстремистский репост», опубликовано 14.10.2016, доступно по ссылке: https://lenta.ru/news/2016/10/14/dedushka/

3 Lessig L. The law of the horse: what cyberlaw might teach. P. 515.