Учебный год 22-23 / Е. Папченкова - Действия под чужим аккаунтом_ применение норм о представительстве в сети Интернет (1)
.pdf
ЕКАТЕРИНА
АЛЕКСАНДРОВНА
ПАПЧЕНКОВА
вице-президент Центра стратегических разработок, магистр частного права
ТЕМА НОМЕРА: Представительство и ответственность представителей
ДЕЙСТВИЯ ПОД ЧУЖИМ АККАУНТОМ: ПРИМЕНЕНИЕ НОРМ О ПРЕДСТАВИТЕЛЬСТВЕ В СЕТИ ИНТЕРНЕТ
В статье рассматривается вопрос о гражданско-правовой квалификации действий лица, совершенных в сети Интернет с использованием чужих средств идентификации через призму норм о представительстве. В частности, анализируются случаи как добровольной передачи идентификатора, так и неправомерного завладения ими мошенниками. Предлагается для обеспечения баланса интересов сторон применение по аналогии норм главы 10 Гражданского кодекса РФ.
Ключевые слова: цифровая среда доверия, идентификация, действия под чужим именем, полномочия в силу обстановки
Развитие информационных технологий привело к тому, что значительная часть гражданского оборота перешла в цифровую среду и большинство сделок — от оплаты коммунальных услуг до продажи квартиры — сейчас может быть совершено онлайн. В таких реалиях актуальным становится вопрос о создании так называемой цифровой среды доверия между участниками цифрового оборота. В последнее время российский законодатель уделяет этому вопросу много внимания, о чем свидетельствуют недавние поправки в Гражданский кодекс (ГК) РФ, посвященные цифровым сделкам, а также ряд законопроектов, внесенных в Государственную Думу и направленных на легальное определение процедуры
34
TOPIC OF THE ISSUE: Representation
and Liability of Representatives
EKATERINA A.
PAPCHENKOVA
Vice-President at
the Center for Strategic Research, Master of Private Law
ACTIONS UNDER THIRD PARTY’S ACCOUNT: APPLICATION OF
THE RULES FOR REPRESENTATION ON THE INTERNET
The article discusses the issue of the civil law qualification of a person’s actions committed in the Internet using third party’s means of identification under the prism of agency law. In particular it analyses cases of both the voluntary transfer of the identifier and the unlawful acquisition of them by fraudsters. It is proposed to apply the rules of Chapter 10 of the Civil Code of the Russian Federation by analogy to ensure a balance of interests of the parties.
Keywords: digital trust, identification, actions under third party’s name, authority due to circumstances
идентификации во исполнение п. 1.1 паспорта Феде- |
Вместе с тем, какие бы технические и законодательные |
|
рального проекта «Нормативное регулирование циф- |
меры по созданию цифровой среды доверия ни были |
|
ровой среды»1. |
|
|
|
|
си», № 747631-7 «О внесении изменений в федеральные |
|
|
законы „Об электронной подписи“, „О защите прав юриди- |
1 Проекты федеральных законов № 747513-7 «О внесении |
ческих лиц и индивидуальных предпринимателей при осу- |
|
изменений в отдельные законодательные акты (в части |
ществлении государственного контроля (надзора) и муни- |
|
уточнения процедур идентификации и аутентификации)», |
ципального контроля“ и „Об аккредитации в национальной |
|
№ 747528-7 «О внесении изменений в некоторые законода- |
системе аккредитации“», № 728232-7 «О внесении измене- |
|
тельные акты Российской Федерации в связи с совершен- |
ний в Федеральный закон „О государственной регистрации |
|
ствованием регулирования в сфере электронной подпи |
недвижимости“» // СПС «КонсультантПлюс». |
|
35
ЖУРНАЛ «ЗАКОН» № 10 ОКТЯБРЬ 2020
приняты, правопорядок едва ли сможет в ближайшие годы полностью исключить ситуации присвоения чужих идентификаторов и совершения сделок от имени другого лица — точно так же, как нельзя исключить случаи мошенничества, подделки подписи, завладения реквизитами и печатью другого лица в реальной жизни. Однако если по девиантным ситуациям в реальной жизни судебная практика выработала какие-то системные подходы, то по аналогичным действиям в цифровой среде есть только отдельные судебные решения, опирающиеся скорее на интуитивное доверие или недоверие судей к конкретным технологиям, нежели чем на глубокое осмысление гражданско-пра- вовой природы данных отношений.
Недавние поправки в п. 2 ст. 160 ГК РФ, как и внесенные в Думу законопроекты по идентификации, прямого ответа на вопрос о последствиях использования чужих идентификаторов не дают. Пункт 2 ст. 160 ГК РФ исходит из допустимости заключения сделки с помощью электронных либо иных технических средств при условии, что использован любой способ, позволяющий достоверно определить лицо, выразившее волю. С учетом того, что практически ни один из существующих в настоящий момент способов идентификации не позволяет однозначно установить волеизьявителя и исключить случаи противоправного завладения идентификаторами, правильнее говорить о презумпции того, что волю выразила сторона сделки — владелец аккаунта. Вопрос в том, опровержима ли данная презумпция или нет?
В настоящей статье мы попытаемся дать граждан- ско-правовую квалификацию действий под чужим аккаунтом третьего лица, получившего доступ к этому аккаунту с использованием чужих идентификаторов. Такие действия могут быть совершены: 1) по воле владельца аккаунта — при передаче паролей родственнику, сотруднику организации; 2) против воли владельца аккаунта — в результате неосторожных действий самого владельца аккаунта (необеспечение сохранности паролей доступа) либо действий третьих лиц (вирусные атаки, взлом аккаунта и пр.).
1. Добровольное предоставление доступа к аккаунту третьему лицу
Добровольная передача логина и пароля доверенному лицу для совершения операций от имени владельца
аккаунта на первый взгляд мало чем отличается от классического добровольного представительства. В реальной жизни такие действия сопровождались бы доверенностью на совершение сделок от имени владельца аккаунта (счета). В судебной практике передача логина и пароля доступа к личному онлайн-сче- ту порой прямо оценивается судами как отношения представительства по договору поручения2. Вывод о представительской природе отношений можно также косвенно сделать из рассуждений судов о том, что распоряжение клиентом электронными средствами с использованием кодов, паролей и т.п. подтверждает, что распоряжение дано уполномоченным на это лицом3.
Такой же логике следует законодатель: согласно п. 4 ст. 847 ГК РФ договором может быть предусмотрено удостоверение прав распоряжения денежными суммами, находящимися на счете, электронными средствами платежа и другими документами с использованием в них аналогов собственноручной подписи (п. 2 ст. 160), кодов, паролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом.
Однако говорить об отношениях представительства в данном случае можно лишь условно, ведь при совершении электронных сделок фигура представителя как таковая вовне не проявляется. Не соблюдается ключевой принцип представительства — принцип публичности, т.е. открытое действие представителя от чужого имени4 (п. 1 ст. 182 ГК РФ). Контрагент, вступая в сделку с владельцем аккаунта, не предполагает и не должен предполагать, что под чужим аккаунтом «залогинился» не его владелец, а кто-то иной — уполномоченный или нет5. Отсутствует и процедура проверки полномочий, вместо нее используется процедура идентификации владельца аккаунта, успешное прохождение которой презюмирует, что волю выражает владелец аккаунта. В сделках же, совершенных через представителя, последний выражает волю, которая
2Апелляционное определение Московского городского суда от 16.01.2019 по делу № 33-1659/2019.
3Апелляционное определение Московского городского суда от 14.05.2019 по делу № 33-16529/2019.
4См.: Рясенцев В.А. Представительство в советском гражданском праве. М., 2006. С. 113; Егоров А.В., Папченкова Е.А., Ширвиндт А.М. Представительство: исследование судебной практики. М., 2017. С. 81–85.
5Der Münchener Kommentar zum BGB: Band 1 — Grundlegende Vorschriften (MüKoBGB/Schubert BGB) / Hrsg. C. Schubert. C.H. Beck, 2018. § 167. Rn. 126.
36
TOPIC OF THE ISSUE: Representation |
ТЕМА НОМЕРА: Представительство |
|
and Liability of Representatives |
и ответственность представителей |
|
связывает представляемого, в связи с чем проверка полномочий и отдельная идентификация представителя критически важны6.
Ситуации, когда под чужим аккаунтом действует другое лицо, корректнее сравнивать с действиями лица под чужим именем или, если точнее, под «чужим паролем»7.
На то, что в данном случае имеют место действия, совершенные под чужим именем, указывал Верховный суд Германии8. Ранее такое решение было выработано для уже устаревших технологий проводной связи. При этом Верховный суд Германии допустил возможность применения к действиям под чужим именем норм о представительстве по аналогии, в частности норм о претерпеваемых и кажущихся полномочиях (немецкий аналог полномочий в силу обстановки) и об одобрении сделки лжепредставителя9.
В российской практике действия под чужим именем анализируются, как правило, в делах, где присутствует подделка подписи.
Ожидаемо, что такие сделки чаще всего признаются либо незаключенными10, либо недействительными по ст. 168 ГК РФ11. Означает ли это, что все сделки в сети Интернет, совершенные невладельцем аккаунта с использованием чужих кодов, паролей, недействительны? Такое решение явно не благоприятствует цифровому доверию, ведь в цифровой среде точно установить, кто вошел под паролем, практически невозможно12; тот, кто воспользовался паролем для доступа в аккаунт, предполагается его владельцем, —
6Исключения разве что можно сделать для обычных ежедневных онлайн-операций, не создающих серьезных правовых последствий для их участников. Такие сделки могут быть приравнены к так называемым сделкам «за счет кого следует» в немецком праве.
7Schneider M. Die rechtsgeschäftliche Haftung für den Accountmissbrauch im Internet Europäische Hochschulschriften Recht. Frankfurt am Main, Berlin, Bern, Bruxelles, New York, Oxford, Wien, 2015. S. 68–69.
8BGH Urt. vom 11.Mai 2011, VIII ZR 289/09 = BGHZ 189, 346 ff.
9Schneider M. Op. cit. S. 39–40.
10См.: Постановления Президиума ВАС РФ от 01.08.1995 № 7357/94, от 14.12.1999 № 5584/98, от 16.05.2000 № 6612/98.
11Определение СКГД ВС РФ от 06.12.2016 № 5-КГ16-182; Постановление Президиума ВАС РФ от 10.01.2003 № 6498/02.
12Müller-Brockhausen M. Haftung für den Missbrauch von Zugangsdaten im Internet. Nomos Verlagsgesellschaft, 2014. S. 350. Rn. 720.
это подкрепляется требованием об обеспечении конфиденциальности паролей. Однако на практике пароль доступа может использоваться не только его обладателем. Да и в реальной жизни сделки, совершенные с подделкой подписи, но с согласия подписанта или с использованием факсимиле, не так уж редки.
Впрочем, есть и иная судебная практика — применение к сделкам, совершенным под чужим именем, по аналогии норм о представительстве, например в случае, когда лицо, чья подпись была подделана, совершает в последующем действия, свидетельствующие об одобрении совершенной под его именем сделки13.
Перенося данную логику в цифровую сферу, можно прийти к следующему выводу: хотя сделка, совершенная с чужого аккаунта, по сути является сделкой неуполномоченного лица под чужим именем и схожа по природе с подделкой подписи, в некоторых ситуациях, в частности при последующем (в том числе молчаливом) одобрении сделки владельцем аккаунта, можно по аналогии со ст. 183 ГК РФ считать, что сделка совершена уполномоченным лицом.
Указанный подход прослеживается и в ст. 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» (далее — Закон о национальной платежной системе) применительно к электронным средствам платежа. Названная норма закрепляет, что банк обязан возместить клиенту сумму операции, о которой клиент не был проинформирован и которая была совершена без его согласия (т.е. совершена не уполномоченным лицом). Но если информированный о совершенной операции клиент не уведомляет банк о том, что он не совершал данной операции, то банк не обязан возмещать клиенту сумму операции, совершенной без согласия клиента (ч. 14 ст. 9 Закона). В сущности, неуведомление клиентом банка о совершенной без согласия клиента операции приравнивается к ее молчаливому одобрению (налицо механизм ст. 183 ГК РФ об одобрении сделки лжепредставителя).
В российской практике встречается также и прямое применение ст. 183 ГК РФ к одобрению несанкци-
13См., напр.: Определение СКГД ВС РФ от 04.06.2013 № 44- КГ13-1; постановление АС Уральского округа от 25.01.2018 № Ф09-8314/17 по делу № А60-33900/2016.
37
ЖУРНАЛ «ЗАКОН» № 10 ОКТЯБРЬ 2020
онированных платежей, совершенных через он- |
паролей, по сути своей являющихся информацией, ко- |
|||||
лайн-банк14. |
торая может быть одновременно у разных людей (это |
|||||
|
|
|
|
особенно актуально в случае так называемого шпио- |
||
|
|
Можно было бы сказать, что передача логина и |
нажа паролей); (3) не может использоваться третьими |
|||
|
|
|||||
|
|
пароля сама по себе выступает видом уполно- |
лицами без прямого подлога и подделки подписи, что |
|||
|
|
мочия и одобрения сделки не требуется, однако |
можно установить экспертизой в случае спора. Пароли |
|||
|
|
это противоречит ст. 182 ГК РФ, не признающей |
же подделывать нет ни возможности, ни смысла — до- |
|||
|
|
такой вид уполномочия (как и конклюдентную |
статочно один раз узнать их, чтобы совершать сделки |
|||
|
|
выдачу полномочий в целом), а также общим |
от чужого имени. А значит, теоретически любое лицо, |
|||
|
|
положениям о доверенности (ст. 185 ГК РФ). Ска- |
у которого оказались чужие пароли, может считаться |
|||
|
|
занное не отменяет возможности существования |
представителем соответствующего лица с надлежа- |
|||
|
|
электронной доверенности, однако в качестве та- |
щим уполномочием. Такая уязвимость паролей досту- |
|||
|
|
ковой не могут выступать чужие логины и пароли, |
па ставит под сомнение квалификацию действий по |
|||
|
|
служащие идентификатором конкретного лица. |
выдаче паролей как выдачу доверенности. |
|||
|
|
|||||
Вместе с тем, например, в Германии, где конклюдент- |
|
|
Разумнее использовать по аналогии отдельные |
|||
|
|
|||||
ное уполномочие допускается, добровольная пере- |
|
|
нормы о представительстве более дозирован- |
|||
дача своих логина и пароля другому лицу, равно как |
|
|
но: с учетом того, что использование чужого ак- |
|||
и передача ему банковской карты, квалифицируется |
|
|
каунта даже уполномоченным лицом — скорее |
|||
некоторыми авторами как конклюдентные действия, |
|
|
отклонение от нормы и аналогично использова- |
|||
наделяющие полномочием третье лицо15. Дальше всех |
|
|
нию чужого имени. |
|||
в этом идет М. Штёбер16, который предлагает прирав- |
|
|
|
|||
нивать к выдаче полномочий не только добровольную |
Помимо ст. 183 ГК РФ, в некоторых случаях можно |
|||||
передачу паролей, но и передачу, произошедшую |
было бы говорить о применении, в том числе к дей- |
|||||
из за небрежности их обладателя. |
ствиям третьего лица, совершенным без прямого |
|||||
|
|
|
|
указания владельца аккаунта, по аналогии п. 1 ст. 182 |
||
Часть авторов тем не менее высказывают обосно- |
о полномочиях в силу обстановки. |
|||||
ванное сомнение в возможности даже по аналогии |
|
|
|
|||
применять нормы о доверенности к передаче паролей |
2. Использование третьим лицом |
|||||
(учитывая случаи несанкционированного доступа к |
||||||
ним). Так, по справедливому замечанию М. Мюлле- |
аккаунта против воли владельца |
|||||
ра-Брокгаузена17, в отличие от паролей доверенность |
|
|
|
|||
(1) может быть в любой момент отозвана, что суще- |
Как уже было сказано, ситуации совершения сделок с |
|||||
ственно защищает представляемого; (2) не может |
использованием чужих идентификаторов против воли |
|||||
быть незаметно украдена третьими лицами, ведь |
их владельцев не так уж редки. Чаще всего такие опе- |
|||||
физическую пропажу доверенности можно достаточ- |
рации совершаются с использованием электронных |
|||||
но быстро установить, чего не скажешь о воровстве |
средств платежа (онлайн-банк) и направлены на вы- |
|||||
|
|
|
|
вод денежных средств. Однако недавно эта негатив- |
||
|
|
|
|
ная практика коснулась также сферы мошенничества |
||
|
|
|
|
|||
14 См.: постановления АС Дальневосточного округа от |
с недвижимостью18. |
|||||
|
16.01.2019 № Ф03-5786/2018 по делу № А59-1403/2017; |
|
|
|
||
|
ФАС Волго-Вятского округа от 06.08.2012 по делу № А38- |
В практике Верховного Суда РФ складывается подход, |
||||
|
2034/2011 (в акте отсутствует ссылка на ст.183 ГК РФ, од- |
|||||
|
защищающий потребителя — клиента банка19. В то же |
|||||
|
нако суд, в принципе, говорит о последующем одобрении |
|||||
|
сделок владельцем аккаунта). |
|
|
|
||
15 Schneider M. Op. cit. S. 195–196; MüKoBGB/Schubert. § 167. |
|
|
|
|||
|
Rn. 126. |
|
|
|
||
16 Stöber M. Die analoge Anwendung der §§ 171, 172 BGB am |
18 См.: Через электронную подпись крадут квартиры и биз- |
|||||
|
Beispiel der unbefugten Benutzung fremder Internetoder Tele- |
|
нес: способы защититься // Право.ру. 2019. 14 авг. URL: |
|||
|
kommunikationszugänge // Die Juristische Rundschau. 2012. |
|
https://pravo.ru/story/213752/ (дата обращения: 19.10.2020). |
|||
|
S. 225–231. |
19 Определения СКГД ВС РФ от 24.04.2018 № 5-КГ18-41; от |
||||
17 Müller-Brockhausen M. Op. cit. S. 181–182. Rn. 346–348. |
|
10.01.2017 № 4-КГ16-66. |
||||
38
TOPIC OF THE ISSUE: Representation |
ТЕМА НОМЕРА: Представительство |
|
and Liability of Representatives |
и ответственность представителей |
|
время некоторые нижестоящие суды встают на защиту банков и иных адресатов таких волеизъявлений в сети Интернет. Для этого часть судов прямо или косвенно обращается к нормам о представительстве. Так, Арбитражный суд Уральского округа прямо применил п. 2 ст. 182 ГК РФ о полномочиях в силу обстановки к регистрации в онлайн-системе под чужим логином и паролем20. В отдельных случаях полномочия в силу обстановки оцениваются применительно к сотруднику (бухгалтеру), имеющему доступ к онлайн-аккаунту21.
Обычно суды избегают прямого упоминания п. 2 ст. 182 ГК РФ, но все же строят свои выводы так, как если бы эта норма была применена. Нередко это происходит в ситуации, когда владелец счета сообщает логин и пароль мошенникам в результате так называемого фишинга. Например, Московский городской суд посчитал, что использование комбинаций и паролей говорит о том, что третье лицо, совершающее действия без ведома обладателя счета, может быть признано уполномоченным лицом22. А поскольку в действительности обладатель счета никаких полномочий злоумышленнику не выдавал и лишь неосторожно разгласил ему пароли, то, по сути, максимум, о чем тут можно говорить, — это о полномочиях в силу обстановки.
Допустимость применения к действиям под чужим аккаунтом доктрины видимых полномочий в сети Интернет всерьез обсуждается в немецкой литературе23. Толчком к дискуссии стало упомянутое выше дело Верховного суда Германии 2011 г.24 У ответчицы был зарегистрирован аккаунт на онлайн-аукционе E-bay, под которым было выставлено на продажу ресторанное оборудование за 1 долл. Истец (покупатель) подал заявку о покупке оборудования по наиболее высокой цене в 1000 долл. Однако незадолго до завершения торгов оборудование было снято с продажи. Как оказалось впоследствии, ответчица в действительности
20Постановление АС Уральского округа от 21.01.2019 № Ф0910241/2016.
21 Постановление Восемнадцатого ААС от 21.05.2019 № 18АП-3774/2019.
22Апелляционное определение Московского городского суда от 14.05.2019 по делу № 33-16529/2019.
23Müller-Brockhausen M. Op. cit. S.193 Rn 370; J. von Staudin gers Kommentar zum Bürgerlichen Gesetzbuch mit Einführungsgesetz und Nebengesetzen. Buch 1: Allgemeiner Teil. Sellier, 2009. § 167. Rn. 35 MüKoBGB/Schubert. § 167 Rn. 126–137.
24BGH Urt. vom 11.Mai 2011, VIII ZR 289/09 ff.
оборудование не выставляла, это сделал ее муж, который без ее ведома воспользовался аккаунтом. Истец, полагавший, что договор должен считаться заключенным, подал иск о возмещении убытков.
Суд, признавая действия третьего лица под чужим аккаунтом действиями под чужим именем, поставил вопрос о возможности применения по аналогии доктрины претерпеваемых (Duldungsvollmacht) и кажущихся (Ansheinsvollmacht) полномочий, которые могли возникнуть у мужа ответчицы. Верховный суд Германии счел, что в конкретном случае ни первые, ни вторые не возникли. Для претерпеваемых полномочий отсутствовало предварительное или последующее одобрение действий мужа со стороны ответчицы — ответчица мужу пароли доступа к аккаунту не предоставляла, о факте его использования аккаунта не знала, более того, отсутствовала в это время. Для кажущихся полномочий отсутствовал такой важный для немецкой практики элемент, как «длящийся и повторяющийся характер действия третьего лица от чужого имени»25. В результате суд посчитал, что в иске должно быть отказано.
Этот подход был встречен в научной литературе неоднозначно26. Во-первых, часть авторов поставили под сомнение само допущение о применимости доктрины кажущихся полномочий к действиям под чужим аккаунтом. Контрагент ошибается не в наличии полномочий у неизвестного лица, действующего инкогнито, а в личности лица, под чьим именем заключается сделка. Поскольку фигура кажущегося представителя, в сущности, отсутствует, соответственно, нельзя полагаться и на наличие кажущихся полномочий27. Во-вторых, критиковался такой критерий видимых полномочий, как длящийся характер действий третьего лица под чужим номером, потому что он объективно нераспознаваем для оборота — банк или любой другой контрагент никогда достоверно не знает, кто в данный момент находится по ту сторону экрана. В этом смысле не имеет значения, как часто конкретное лицо выступало под чужим аккаунтом28.
25Hoeren Th., Bensinger V. Haftung im Internet: Die neue Rechtslage. Walter de Gruyter GmbH & Co KG, 2014. S. 229.
26MüKoBGB/Schubert. § 167 Rn. 126–137; Müller-Brockhau- sen M. Op. cit. S. 196–198; Schneider M. Op. cit. S. 210; Stöber M. Op. cit. S. 228.
27Hoeren Th., Bensinger V. Op. cit. S. 230. Rn. 146.
28Müller-Brockhausen M. Op. cit. S. 198. Rn. 379.
39
ЖУРНАЛ «ЗАКОН»
№10 ОКТЯБРЬ 2020
Впринципе, неприятие немецкой доктриной догматических построений Верховного суда обусловлено тем неудобоваримым для цифрового оборота результатом, к которому они ведут, — отказом в защите интересов контрагента на том лишь основании, что действия третьего лица под чужим аккаунтом не были длящимися. Очевидно, что в таком режиме ни о каком цифровом доверии не может быть и речи.
Всвязи с этим большинство авторов склоняются к необходимости создания самостоятельного института доверия в сети Интернет с опорой на общий институт видимости права (Rechtschein), из которого и произрастает институт кажущихся полномочий.
Помимо кажущихся полномочий, Rechtschein проявляется в регулировании ценных бумаг, доверенности, записи в реестре, добросовестном приобретении от неуправомоченного лица и пр. Объединяет их то, что правовые последствия могут быть вменены лицу в силу простой видимости права, на которую полагаются третьи лица29.
Одновременно с этим в немецкой литературе встречаются попытки обосновать защиту контрагента в цифровых сделках через принципиально иные институты гражданского права (договорная обязанность, преддоговорная ответственность, деликт), но зачастую они выглядят искусственными.
Так, распространенное обоснование со ссылкой на договорную обязанность владельца аккаунта сохранять пароли в тайне может быть теоретически применено только в двухсторонних отношениях, где лицо, осуществляющее идентификацию (банк, оператор платформы), совпадает с контрагентом; в трехсторонних же отношениях (владелец аккаунта — оператор площадки — контрагент) оно не работает. Примечательно, что в вышеупомянутом деле Верховного суда Германии с участием E-bay истец ссылался на общие условия сделок — договор присоединения, заключаемый пользователями с платформой, — согласно которым владелец аккаунта обязан обеспечить сохранность паролей. Однако суд счел, что
29Schneider M. Op. cit. S.184; Rieder M.S. Rechtsscheinhaftung im elektronischen Geschäftsverkehr. Duncker & Humblot, 2004. S. 194; Müller-Brockhausen M. Op. cit. S. 244. Rn. 489.
данное соглашение распространяется на внутренние отношения между платформой и пользователем и не может касаться третьих лиц — других участников интернет-аукциона30. При этом даже в двусторонних отношениях нельзя согласиться с тем, что нарушение клиентом договорной обязанности о сохранности паролей является основанием вменить ему действия неуполномоченного лица, а не ограничиться штрафом по договору. ГК РФ не знает таких оснований возникновения полномочий у третьего лица, как нарушение принципалом договорной обязанности.
Кроме того, нельзя сбрасывать со счетов практику навязывания пользователям системы как слабой стороне несправедливых договорных условий, а именно излишне высоких и не всегда отвечающих разумному распределению рисков в обороте требований по обеспечению сохранности идентификаторов.
Звучат также предложения квалифицировать ответственность владельца аккаунта перед третьим лицом через институт преддоговорной и постдоговорной ответственности (culpa in contrahendo), охватывающий собой охранительные обязанности действовать добросовестно в договорных отношениях (§ 241 Германского гражданского уложения, с недавних пор данный принцип есть в ст. 3 ГК РФ). Сторонником данного подхода является Ю. Охслер31, разработавший свою дифференцированную систему и предлагающий различать: (1) добровольную передачу пароля (применяются нормы о представительстве, и сделка считается заключенной) и (2) необеспечение сохранности пароля вследствие грубой небрежности владельца аккаунта (возникает преддоговорная ответственность перед контрагентом, однако она ограничивается только возмещением негативного интереса, т.е. убытков). Очевидное слабое место этой теории — необходимость некоего договора между владельцем аккаунта и контрагентом, а значит, опять же, ограничение ее только двусторонними отношениями и предположением, что между сторонами уже существует договорная связь. В качестве таковой, по мнению Охслера, может выступать пользовательское (рамочное соглашение) о присоединении к системе, в котором заранее про-
30Hoeren Th., Bensinger V. Op. cit. S. 229. Rn. 139.
31Oechsler Jü. Die Bedeutung des § 172 Abs. 1 BGB beim Handeln unter fremdem Namen im Internet // Archiv für die civilistische Praxis. 208 (2008). S. 565–583.
40
TOPIC OF THE ISSUE: Representation |
ТЕМА НОМЕРА: Представительство |
|
and Liability of Representatives |
и ответственность представителей |
|
писываются обязанности клиента по предотвращению доступа третьих лиц к аккаунту. Но тут снова встает вопрос о навязывании несправедливых договорных условий, переносящих все риски на клиента. Вместе с тем нельзя отказать в изящности названному решению, ограничивающемуся возмещением убытков без связывания сделкой владельца аккаунта.
Есть также мнение о том, что заблуждение в лице, с которым сторона вступает в сделку, можно расценивать как недействительную сделку, совершенную под влиянием существенного заблуждения (ст. 178 ГК РФ). Такая квалификация возможна, но в большинстве случаев она работает вхолостую. Исходя из п. 1 ст. 178 ГК, оспорить такую сделку может сторона, действовавшая под влиянием заблуждения. Однако с иском об оспаривании сделки, совершенной с чужого аккаунта, выступает, как правило, не заблуждающееся лицо, а то, в чей личности заблуждаются (владелец аккаунта). Ему оспаривание сделки по ст. 178 ГК РФ недоступно.
В итоге наиболее верный способ защиты для владельца аккаунта — настаивать на том, что сделка совершена неуполномоченным лицом (по ст. 183 либо ст. 168 ГК РФ, как при подделке подписи). Контрагент, в свою очередь, может возражать, что, хотя сделку совершил не сам владелец аккаунта, а некто от его имени, имела место видимость полномочий (п. 1 ст. 182 ГК РФ), которая создала у контрагента разумные ожидания об их наличии.
Преимущество института видимых полномочий заключается как раз в его задаче находить баланс между разумными ожиданиями третьих лиц относительно личности лица, от имени которого совершается сделка, и интересами данного лица.
Несмотря на то, что зарубежные коллеги отмечают некорректность использования данного института в электронных сделках, отсылая к более генеральному принципу Rechtshein, институт видимых полномочий наиболее близок к нему, и по нему практика выработала наиболее взвешенные решения.
Надо сказать, что нежелание российских судов прямо применять п. 2 ст. 182 ГК РФ к спорным ситуациям частично обусловлено отсутствием в доктрине
единства относительно института полномочий в силу обстановки и его слабой проработанностью в отличие от зарубежных аналогов. В доктрине господствует достаточно узкое понимание представительства в силу обстановки как возникающего только в том случае, если представляемый сам конклюдентными действиями поместил представителя в такую обстановку. В учебнике МГУ действия представителя в силу обстановки приравниваются к действиям работников торговых, бытовых, транспортных, банковских и им подобных организаций, допущенных администрацией организации к исполнению работ, оказанию услуг32. Вероятно, такой подход берет начало в советской доктрине, отвергающей буржуазный институт кажущихся и претерпеваемых полномочий.
Вместе с тем современная российская судебная практика достаточно широко трактует понятие обстановки. Последнюю может создать должность представителя (бухгалтер, главный юрист, в том числе материнской организации33), длящийся характер его действий, печать организации34 и пр. При этом не всегда имеет значение воля представляемого на создание такой обстановки. В этом контексте в XXI в. вполне обоснованно говорить о том, что обстановка может быть не только реальной, но и виртуальной, т.е. складываться в сети Интернет, и может иногда возникнуть без прямой воли представляемого, но в результате его небрежности.
В равной степени нежелание судов распространить нормы о видимых полномочиях на действия третьего лица под чужим аккаунтом вызвано недостаточной
32Российское гражданское право: учеб. в 2 т. Т. 1. Общая часть. Вещное право. Наследственное право. Интеллектуальные права. Личные неимущественные права / отв. ред. Е.А. Суханов. М., 2011; Гражданское право: учеб. в 2 т. / под ред. Б.М. Гонгало. М., 2018. Глава 11. § 3. Однако есть и альтернативные подходы, см.: Егоров А.В., Папченкова Е.А., Ширвиндт А.М. Указ. соч. С. 64.
33 Постановление Президиума ВАС РФ от 24.06.2014 № 1332/14 по делу № А65-30438/2012; постановление АС Западно-Сибирского округа от 22.06.2017 № Ф041511/2017 по делу № А03-9605/2016.
34Определения ВС РФ от 09.03.2016 № 303-ЭС15-16683, от 24.12.2015 № 307-ЭС15-11797, от 23.07.2015 № 307- ЭС15-9787; ВАС РФ от 28.04.2014 № ВАС-4971/14, от 06.02.2014 № ВАС-329/14, от 15.01.2014 № ВАС-19047/13, от 09.12.2013 № ВАС-17772/13, от 06.12.2012 № ВАС16170/12, от 09.07.2012 № ВАС-8557/12, от 17.06.2011 № ВАС-7136/11, от 18.02.2008 № ВАС-1186/08.
41
ЖУРНАЛ «ЗАКОН» № 10 ОКТЯБРЬ 2020
уверенностью в надежности современных способов идентификации в сети Интернет, особенно если идентификация сводится к простому знанию логина и пароля. К обычной ситуации компроментации паролей в реальной жизни добавляются фишинг и фарминг, шпионаж паролей, различные вирусные программы, которые с каждым днем становятся все изощреннее. Указанная проблема остается актуальной для всех участников сети Интернет вне зависимости от их местоположения35.
Содной стороны, в исторической перспективе совершение сделок через Интернет, по сути, является эволюцией, следующей ступенью развития сделок через представителя, облегчающей дистанционное взаимодействие людей. Различие в том, что доверенность — это продукт эволюции юридической науки, тогда как Интернет и электронные сделки — дитя технического прогресса. Однако с социально-эконо- мической точки зрения у них одна цель — упростить взаимодействие при совершении различных торговых и не только операций. В XVIII в. и представительство рассматривалось как немыслимое юридическое чудо, неизвестное классическому римскому праву и создающее большие риски для стабильности оборота. При этом формы злоупотребления в представительстве (как подделки доверенности, так и простых злоупотреблений представителя) становятся со временем только разнообразнее. Тем не менее правопорядок не просто выработал нормы, легитимизующие такой способ взаимодействия, но и в какой-то момент допустил в интересах оборота создание видимых полномочий.
Сдругой стороны, признавая сделки, совершенные в сети Интернет, следующей эволюционной ступенью представительских сделок, было бы разумным принимать во внимание весь пласт накопленных знаний об этом институте (в частности, институт представительства в силу обстановки), которые при грамотном использовании выступают в роли своеобразного балансира интересов участников оборота. Однако, безусловно, он не может быть использован в сети Интернет без существенного переосмысления.
35BGH, Urteil v. 11. 5. 2011, VIII ZR 289/09 (VIP-Bareinrichtung) — BGHZ 189, 346, Rn. 18; OLG Köln, Urteil v. 13. 1. 2006, 19 U 120/05 — NJW 2006, 1676, 1677; LG Bonn, Urteil v. 7. 8. 2001, 2 O 450/00 — MMR 2002, 255, 256; Urteil v. 19. 12. 2003, 2 O 472/03 — MMR 2004, 179, 181.
3. Критерии доверия в сети Интернет
В классическом виде доктрина полномочий в силу обстановки (или кажущихся полномочий) основывается на трех элементах: 1) объективная видимость наличия полномочий у кажущегося представителя для среднего участника оборота; 2) действия или бездействие представляемого, которые привели к созданию такой видимости; 3) субъективная добросовестность контрагента.
И все же применение данных критериев к сети Интернет при сохранении общего подхода требует существенной модификации. Во-первых, некорректно говорить о видимости полномочий: как уже не раз отмечалось, третье лицо в этих случаях не проявляется вовне в качестве представителя, но заявляет о себе как о владельце аккаунта. Во-вторых, выработанные практикой и доктриной критерии, которые создают видимость полномочий в реальной жизни, не могут быть prima facie перенесены в онлайн-среду. Собственно, именно буквальный перенос Верховным судом Германии признаков кажущихся полномочий (длящийся и повторяемый характер действий) и вызвал столь сильное неприятие в немецкой доктрине.
В российской практике также можно увидеть применение привычных критериев представительства в силу обстановки к сделкам с использованием онлайн-банкинга, в частности: повторяющийся и однотипный характер совершаемых операций, должность лица в компании (бухгалтер), пользующегося аккаунтом компании36. Однако данный набор критериев, с одной стороны, недостаточен, а с другой стороны, излишен для сделок в сети Интернет.
Ведь, как правило, контрагент в онлайн-сделках не может установить ни повторяющийся характер действий, ни тем более должность лица, авторизовавшегося с помощью корректных идентификаторов. Точно так же, впрочем, и покупатель в магазине не должен каждый раз выяснять, как давно стоит продавец за прилавком и есть ли у него договор с организацией: сама обстановка говорит о наличии полномочий у про-
36 Постановления Восемнадцатого ААС от 21.05.2019 № 18АП-3774/2019; АС Дальневосточного округа от 16.01.2019 № Ф03-5786/2018 по делу № А59-1403/2017.
42
TOPIC OF THE ISSUE: Representation |
ТЕМА НОМЕРА: Представительство |
|
and Liability of Representatives |
и ответственность представителей |
|
давца. Вопрос в том, какой должна быть виртуальная обстановка, чтобы оправдать доверие третьих лиц.
В зарубежной литературе в связи с этим обсуждается необходимость в выработке принципиально новых критериев разумных ожиданий третьего лица при совершении сделок в сети Интернет относительно идентичности лица, совершающего сделку, и его цифрового профиля. В качестве таких критериев предлагается учитывать совокупность следующих обстоятельств:
1)объективное доверие контрагента к конкретной он- лайн-системе и способу идентификации;
2)ответственность владельца аккаунта за доступ в него третьих лиц;
3)добросовестность контрагента.
3.1. Объективное доверие к онлайн-системе и способу идентификации (отвечают ли они стандарту безопасности в сети Интернет)
Ключевым фактором, препятствующим защите ожиданий в цифровом обороте, выступает низкое доверие правовой системы к существующим технологиям. В свете этого важно не демотивировать операторов онлайн-систем к совершенствованию их безопасности, а, наоборот, стимулировать их к этому за счет предоставления большей правовой защиты участникам более надежных информационных систем.
Прежде всего необходимо отметить, что о доверии в сети Интернет речь может идти только в том случае, если предусмотрена какая-то минимальная процедура идентификации лица.
Сегодня оператор платформы с помощью cookies и иных технологий способен собрать пугающе полный профиль пользователя (геолокация, сфера интересов, покупки, частота посещения определенных сайтов и т.п.), но, как это ни парадоксально, не может пока что установить конкретное физическое лицо, скрывающееся за аккаунтом, без проведения его идентификации37. Если нет идентификации, нет и оснований для вменения.
37 Müller-Brockhausen M. Op. cit. S. 269. Rn. 543.
Соответственно, вопрос о доверии в сети Интернет в основном сводится к вопросу о доверии способу идентификации и рассматривается зарубежными авторами в этом контексте.
Так, М. Шнайдер38 предлагает следующие элементы доверия способу идентификации:
1)насколько согласно стандартам оборота ожидается обеспечение клиентом сохранности и секретности конкретного идентификатора? Не каждый вид и способ взаимодействия в сети Интернет предполагает повышенную осмотрительность его участников, соответственно, к некоторым инструментам идентификации не может быть повышенного доверия третьих лиц. Так, разные требования должны предъявляться к сохранности паролей доступа в информационной портал, электронную почту, онлайн-маркетплейс и онлайн-банк. В первую очередь должны быть учтены те возможности по совершению сделок и прочих операций, которые предоставляет онлайн-платформа39;
2)насколько безопасен используемый в качестве идентификатора пароль и какие требования преду смотрены к его созданию? Оператор онлайн-плат- формы может устанавливать разные требования к формированию паролей доступа: полностью оставить это на усмотрение пользователя либо установить минимальное количество знаков, заглавных букв, цифр, их комбинации. Также может быть установлена частота смены паролей. Чем сложнее требования к идентифицирующим знакам, тем выше стандарт безопасности, а значит, защита разумных ожиданий третьих лиц. Наиболее продвинутый механизм используется в онлайн-банкинге, который наряду с постоянным паролем предусматривает направление клиенту каждый раз индивидуального номера транзакции (двухфакторная аутентификация). Тем не менее всегда остается риск хищения и шпионажа паролей. Этот риск является ключевым поводом для сомнений в надежности паролей в целом как способов идентификации;
38Schneider M. Op. cit. S. 199–201.
39С этим критерием, однако, спорит М. Мюллер-Брокгау- зен, считая, что кому-то взлом аккаунта в Twitter или иной социальной сети может принести куда больший ущерб, в том числе нематериальный, чем взлом онлайн-банка (Müller-Brockhausen M. Op. cit. S. 276. Rn. 561).
43