1 июля вступают в силу изменения в законе «Об электронной подписи».
27 декабря 2019 года был принят закон 476-ФЗ, который существенным образом изменяет закон «Об электронной подписи». 1 июля 2020 года он вступает в силу. Можно сказать, что с указанным законом начинается новая эпоха в истории электронной подписи в России. Давайте поговорим о том, что принес нам новый закон, какие вызовы он ставит перед всеми пользователями электронной подписи.
Необходимость изменений была вызвана рядом причин. С одной стороны, это новые технологии и сервисы, которые не были предусмотрены старой редакцией закона, в первую очередь, это так называемая облачная подпись и сервисы доверенной третьей стороны, а с другой стороны, катализатором изменений были проблемы, и, к сожалению, даже мошенничества, связанные с использованием электронной подписи.
Соответственно, новым законом предусматривается изменение требований к аккредитованным удостоверяющим центрам, введение специальной категории и дополнительных требований к удостоверяющим центрам, которые оказывают облачные услуги электронной подписи, введение дистанционных методов идентификации заявителей при выпуске сертификатов, а также вводится институт доверенной третьей стороны. Кроме того, в законе существенным образом меняется схема использования электронной подписи, особенно в случае юридических лиц и индивидуальных предпринимателей. Очевидно, что указанные изменения существенным образом затрагивают процессы удостоверяющих центров, электронных торговых площадок: организаторов электронного юридически значимого документооборота, банков и многих других организаций. Важны данные изменения для всех банков, так как они влияют на бизнес-процессы обслуживания клиентов, в которых все чаще используется квалифицированная электронная подпись и дистанционные методы оказания услуг.
Итак, по порядку.
Что меняется в части требований к аккредитованным удостоверяющим центрам?
Теперь удостоверяющий центр (далее УЦ) должен иметь гораздо более высокий уровень собственных средств и финансовой ответственности: необходимо иметь собственные средства в размере не менее миллиарда рублей в случае, если у УЦ нет разветвленной филиальной сети, и не менее 500 миллионов рублей в случае, если у УЦ есть филиалы в более, чем 75% субъектов Российской Федерации. Напомню, что ранее стоимость чистых активов УЦ должна была быть не менее 7 миллионов рублей, то есть требования ужесточились в более чем в 140 раз для УЦ без широкой филиальной сети и в более чем 70 раз для УЦ с широкой филиальной сетью. Размер финансового обеспечения ответственности за убытки ответственности также увеличился: теперь он равен 100 миллионам рублей и дополнительно 500 тысячам рублей за каждое место осуществления лицензируемого вида деятельности, но не более 200 миллионов рублей. Ранее сумма финансового обеспечения ответственности за убытки должна была быть не менее 30 миллионов рублей, но не более 100 миллионов рублей. Кроме того, в целях борьбы с мошенничеством вводятся требования к деловой репутации к руководителям и учредителям УЦ, а также, если так можно выразиться, к репутации самого УЦ.
Меняется и сама процедура аккредитации. Если раньше аккредитация выполнялась силами только Минкомсвязи, то теперь процедура становится двухэтапной. Сначала все материалы рассматривает Минкомсвязи, а в случае положительного решения указанного министерства материалы передаются в специальную Правительственную комиссию. Такая комиссия должна быть создана Постановлением Правительства, и в целях более объективного рассмотрения вопросов об аккредитации, законом предусмотрено вхождение в ее состав 30% представителей АНО Цифровая экономика. Предполагается, что это будут представители бизнес-сообщества.
Когда можно будет начать аккредитацию по новым требованиям?
Как было отмечено выше, начало аккредитации зависит от времени создания Правительственной комиссии. В плане-графике подготовки проектов нормативных актов, необходимых для реализации норм 476-ФЗ, заложена разработка Положения о составе и порядке осуществления деятельности Правительственной комиссии, которое должно быть утверждено Постановлением Правительства. Ориентировочный срок утверждения Положения о Правительственной комиссии–27 мая 2020 года. Таким образом, при условии, что сама Правительственная комиссия будет создана вскоре после утверждения положения о ней, можно надеяться на то, что в 3 квартале 2020 года можно будет подать заявления на аккредитацию по новым требованиям, и видимо, в 4 квартале 2020 года появятся первые УЦ, аккредитованные по новым правилам. Переаккредитоваться же надо будет успеть до 1 января 2022 года, так как с указанной даты истекают все старые аккредитации УЦ, и кроме того, с 1 января 2022 года истекают все квалифицированные сертификаты, которые были выданы УЦ в рамках их старых аккредитаций. Это означает, что для обеспечения возможности плавного, а не форс-мажорного перевыпуска сертификатов для своих клиентов, удостоверяющим центрам следует постараться получить новую аккредитацию не позже конца первого полугодия 2021 года, чтобы иметь хотя бы полгода на такой перевыпуск сертификатов.
Что говорит закон об облачной подписи?
Сейчас, когда мы говорим об облачной подписи, то мы обычно имеем в виду технические решения, которые позволяют реализовать централизованное защищенное хранение ключей электронной подписи у некоторого провайдера облачной подписи, а также защищенное дистанционное использование таких подписей их владельцами. Закон в принципе говорит о том же, но есть определенный нюанс. Закон наделяет правом быть провайдерами облачной квалифицированной подписи только аккредитованные УЦ, и при соблюдении ими некоторых дополнительных условий. Какие это условия? Это более высокая финансовая ответственность – от 200 миллионов рублей до 300 миллионов рублей и это наличие в собственности УЦ сертифицированных ФСБ средств облачной подписи, которые обеспечивают выполнение следующих задач: хранения ключей ЭП, аутентификации владельцев квалифицированных сертификатов ключей подписи, защиту передачи информации между УЦ и владельцем квалифицированного сертификата, и самое важное – доказательство невозможности отказа владельца квалифицированного сертификата от поручения на создание квалифицированной ЭП.
Таким образом, облачная электронная подпись, наконец, попадает в правовое поле. Отметим, что самого словосочетания «облачная подпись» в законе нет, мы говорим только о праве УЦ на хранениеи использование по поручению владельцев ключей подписи, но историческое значение случившегося это никак не умаляет. Для того, чтобы можно было воспользоватьсятаким правом удостоверяющему центру необходимо пройти аккредитацию по новым правилам с выполнением дополнительных условий, о которых было сказано выше, в частности, приобрести сертифицированные средства облачной подписи. Согласно плану-графику подготовки нормативных актов, регулятором в области безопасности должны быть разработаны и утверждены до 5 июня 2020 года приказом отдельные требования к средствам облачной подписи. Это означает, что в дополнение к уже имеющимся сертификатам ФСБ на средства УЦ и средства электронной подписи вендоры должны будут получить заключение ФСБ о соответствии средств облачной подписи новым требованиям. Практика показывает, что на получение подобных заключений у производителей обычно уходит не менее полугода, следовательно, скорее всего, получить статус провайдера облачной подписи УЦ смогут не ранее начала 2021 года.
Какие дистанционные методы идентификации вводит закон?
Согласно части 1 статьи 13 закона 63-ФЗ идентификация заявителя может быть произведена без его личного присутствия в трех случаях: либо с использованием действующей квалифицированной подписи, либо с помощью единой системы идентификации и аутентификации (ЕСИА) и Единой биометрической системы (ЕБС), либо с помощью загранпаспорта нового поколения. Отметим, что первый способ является базовым и наиболее часто использующимся, второй способ уже применяется в банковской сфере для открытия счетов физическим лицам, а третий способ применяется в эксперименте по дистанционной регистрации бизнеса и открытию счетов для ЮЛ и ИП согласно Постановлению Правительства №1104 от 29.10.2016. В сфере выпуска сертификатов ключей проверки электронных подписей идентификация с помощью ЕСИА и ЕБС, и с помощью загранпаспортов нового поколения является новым словом, существенно расширяющим возможности как физических лиц, так и юридических лиц по мере увеличения объема базы биометрических слепков ЕБС и по мере распространения среди граждан загранпаспортов нового поколения. Отметим, что логичным продолжением способа идентификации с помощью загранпаспортов могла бы быть идентификация с помощью новых электронных паспортов, которые планируется начать выдавать уже в текущем 2020 году. Но, по всей видимости, законодатели решили дождаться старта распространения загранпаспортов и не стали включать в закон еще не до конца определённую сущность.
Что говорит закон о доверенной третьей стороне?
Доверенная третья сторона (далее ДТС) это тоже новое понятие, которого раньше не было в законе. Согласно закону ДТС это юридические лица, которые осуществляют деятельность по проверке электронной подписи для обеспечения доверия при обмене данными и электронными документами. Для ДТС вводится своя система аккредитации и свои требования для аккредитации. Так же, как и для аккредитованных УЦ, аккредитованные ДТС должны иметь размер собственных средств не менее миллиарда рублей или 500 миллионов рублей при наличии филиалов в более чем 75% субъектов РФ. Так же, как АУЦ, они должны иметь финансовое обеспечение гражданской ответственности. Размер такой ответственности законом не определен, он должен быть определен Постановлением Правительства, которое также входит в упоминавшийся план-график разработки подзаконных нормативных актов. Аналогично аккредитованным УЦ аккредитованные ДТС должны иметь сертифицированные ФСБ России средства доверенной третьей стороны и средства электронной подписи.
Наиболее актуально участие ДТС в трансграничном электронном документообороте, когда возникает потребность по проверке иностранных электронных подписей. Закон затрагивает и этот аспект деятельности ДТС. Для признания и применения в правоотношениях иностранной электронной подписи между соответствующими странами должен быть заключен международный договор, а проверка соответствия подписи требованиям указанного договора должна выполняться ДТС, УЦ или иным лицом, уполномоченным на это международным договором. То есть, чтобы ДТС, УЦ или иное лицо получило право проверять иностранные электронные подписи, они должны быть явно прописаны в указанном международном договоре. Отметим, что такая формулировка закона из-за сложности заключения международных договоров сильно ограничивает возможности применения института ДТС. На наш взгляд, для развития трансграничного ЭДО было бы полезно дать право участникам трансграничного документооборота самостоятельно уполномочивать в рамках своих соглашений тот или иной аккредитованный государством ДТС на проведение проверки иностранных электронных подписей.
Как скоро могут появиться аккредитованные ДТС? Согласно сказанному выше у появления института ДТС есть довольно много пререквизитов. Во-первых, должен быть разработан ряд подзаконных нормативных актов: порядок определения величины финансового обеспечения размера гражданской ответственности ДТС за нанесенный ущерб, правила аккредитации ДТС, порядок реализации функций аккредитованной ДТС и исполнения ее обязанностей. Во-вторых, должны быть разработаны и утверждены ФСБ требования к средствам ДТС. В-третьих, должны быть разработаны и сертифицированы по новым требованиям ФСБ сами средства ДТС. Даже если все упомянутые нормативные акты, включая требования ФСБ, будут разработаны в первом полугодии 2020 года, то все равно даже на сертификацию уже существующих средств ДТС, скорее всего, уйдет не менее полугода. Поэтому, по нашей оценке, первые аккредитованные ДТС могут появиться только в начале 2021 года. Кроме того, как было отмечено выше, для трансграничного применения доверенных третьих стороны потребуется заключение международных договоров и/или включение в них соответствующих ДТС, что в случае новых сфер применения тоже отодвигает во времени начало работы института ДТС примерно на середину 2021 года.
Как закон изменяет схему подписи юридических лиц и индивидуальных предпринимателей?
Изменение схемы подписи для юридических лиц (ЮЛ) и индивидуальных предпринимателей (ИП) это, наш взгляд, одна из самых ярких страниц закона, так как она коснется не только удостоверяющих центров, а практически всех ЮЛ и ИП и всех организаторов ЭДО с применением квалифицированной ЭП.
Начнем с того, что теперь выпуск квалифицированных сертификатов для ЮЛ и ИП будет осуществляться не обычными аккредитованными УЦ, а тремя государственными УЦ – УЦ Федеральной налоговой службы (ФНС) России, УЦ Федерального казначейства и УЦ Банка России в рамках подведомственных им юридических лиц, организаций и индивидуальных предпринимателей. Обязательным для исполнения это требование станет 1 января 2022 года, то есть немного менее, чем через два года. Вводится оно в целях противодействия мошенничеству, в том числе, в сфере налоговых мошенничеств. Отметим, что в случае УЦ ФНС законом предусмотрена возможность привлечения для осуществления всех действий от имени УЦ ФНС доверенных лиц (партнеров), которые должны быть аккредитованными по требованиям к облачной подписи УЦ и соответствовать определенным дополнительным аккредитационным и организационно-техническим требованиям, которые будут разработаны Правительством, ФНС России и ФСБ России. Привлечение доверенных лиц УЦ ФНС нацелено на повышение доступности услуги по выпуску сертификатов для ЮЛ и ИП, а также на возможность обеспечения прозрачного клиентского опыта для клиентов таких удостоверяющих центров.Что касается, ЮЛ, ИП и организаций, подведомственных Федеральному Казначейству и Банку России, то они смогут получить квалифицированные сертификаты ЭП только в соответствующих государственных УЦ.
Во-вторых, квалифицированные сертификаты юридических лиц будут выдаваться только единым исполнительным органам (ЕИО) юридических лиц, то есть лицам, действующим от имени юридического лица без доверенности. Таким образом, теперь квалифицированная электронная подпись юридического лица будет, как правило, только у генеральных директоров и других высоких руководителей, имеющих право действовать без доверенности. Данное требование вступает в силу уже совсем скоро – с 1 июля 2020 года. И, в-третьих, для того, чтобы обычные сотрудники ЮЛ, действующие от имени ЮЛ по доверенности, тоже могли участвовать в электронном документообороте от имени своих организаций, вводится конструкция, согласно которой такой сотрудник ЮЛ подписывает документ своей личной квалифицированной ЭП, подтверждая свои полномочия с помощью такой сущности, как машиночитаемая доверенность (далее МЧД), подписанной квалифицированной ЭП руководителя ЮЛ, действующего без доверенности. Новое правило подписи для сотрудников ЮЛ, действующих по доверенности, и новая сущность МЧД вводятся с 1 января 2021 года.
Что должно быть сделано для того, чтобы новая схема подписи начала использоваться?
Очевидно, что, как и в предыдущих случаях, должен быть разработан определенный ряд подзаконных актов. В плане-графике разработки подзаконных актов значатся следующие документы: о видах ЮЛ и подведомственных им организаций, которым выдаются квалифицированные сертификаты УЦ Федерального Казначейства; о порядке предоставления доверенности, подтверждающей полномочия ФЛ действовать от имени ИП; о требованиях к порядку хранения, использования и отмены МЧД; о порядке создания и выдачи квалифицированных сертификатов УЦ ФНС, Федерального Казначейства и Банка России; о порядке определения доверенных лиц УЦ ФНС России; о дополнительных требованиях к доверенным лицам УЦ ФНС России, об организационно-технических требованиях в области информационной безопасности к доверенным лицам УЦ ФНС России.
Во-вторых, Минкомсвязи и другие государственные и муниципальные организаторы электронного документооборота должны будут разработать формы машиночитаемых доверенностей. В-третьих, государственные и негосударственные операторы систем ЭДО должны будут внедрить в своих системах ЭДО поддержку создания МЧД для сотрудников, действующих по доверенности, и поддержку использования указанных МЧД в своих системах ЭДО. И все это надо успеть сделать до 1 января 2021 года, то есть это самый сложный и серьезный вызов, который предстоит разрешить организаторам электронного документооборота для ЮЛ и ИП, использующим квалифицированную электронную подпись.
Коллизии и открытые вопросы нового закона
Как говорилось выше, обновленный закон привносит в жизнь много нового – новые требования к УЦ, новые институты и технологии, а также необходимость перестройки систем электронного документооборота, использующих квалифицированную ЭП. Но, по всей видимости, в силу большого объема изменений, он содержит открытые вопросы и, даже, на наш взгляд, некоторые правовые и логические коллизии. В основном указанные открытые вопросы и коллизии связаны со сроками вступления в силу тех или иных положений закона и с водоразделом между требованиями к квалифицированным и неквалифицированным ЭП.
Наиболее заметная правовая неопределенность закона связана со сроком вступления в силу правила о том, что сертификаты для ЮЛ могут выпускаться только для лиц, действующих от имени ЮЛ без доверенности (часть 3 статьи 14).Казалось бы, тут все просто, измененная схема использования квалифицированной подписи ЮЛ и ИП в статьях 17.1-17.6 части использования МЧД вступает в силу с 1 января 2021 года, а это означает, что с указанной даты сотрудники юридических лиц должны подписывать документы своими личными квалифицированными ЭП, используя при этом МЧД для подтверждения своих полномочий. А до 1 января 2021, по идее, все должно оставаться по-старому, они должны иметь право подписывать подписями, сертификаты которых выпущены на ЮЛ, с указанием в них ФИО таких сотрудников. Но, оказывается, это не совсем так! В законе в части 3 статьи 14 явно указано, что в сертификате в качестве владельца указывается лицо, действующее от имени ЮЛ без доверенности. И данная норма вступает в силу с 1 июля 2020 года(согласно части 2 статьи 3 закона 476-ФЗ). Таким образом, получается, что в период с 01.07.2020 по 31.12.2020 создается правовая неопределенность в части выпуска сертификатов для представителей ЮЛ, действующих по доверенности: им уже нельзя выпустить сертификат ЮЛ «по-старому», с указанием их собственных ФИО, но они еще не могут «по-новому» воспользоваться своей подписью физического лица для подписания документов от имени ЮЛ, так как такая возможность связана с введением машиночитаемых доверенностей, которые вводятся оборот только с 01.01.2021. На наш взгляд, было бы логично изменить срок вступления в силу части 3 статьи 14 и совместить его со сроком вступления в силу положений статей 17.1-17.6 закона №63-ФЗ, касающихся новых правил использования КЭП при участии в правоотношениях юридических лиц.
Другая важная правовая неопределенность также связана с частью 3 статьи 14. На этот раз речь про неквалифицированную электронную подпись. Так как измененная редакция части 3 статьи 14 закона 63-ФЗ не содержит исключений для неквалифицированных сертификатов, то ее требования порождают правовую неопределенность в части выпуска неквалифицированных сертификатов для представителей ЮЛ, действующих по доверенности, аналогичную описанной для квалифицированных сертификатов. В данном случае неопределенность возникает 01.07.2020 и продолжает действовать бессрочно, так как для неквалифицированных сертификатов нет норм о новой схеме подписи, которые описаны в статьях 17.1-17.6 для квалифицированной электронной подписи. Таким образом, обычные сотрудники ЮЛ теряют возможность применять неквалифицированную ЭП. На наш взгляд, отсутствие возможности выпуска сертификатов неквалифицированной электронной подписи для представителей ЮЛ, действующих по доверенности, может отрицательно сказаться на сфере применения неквалифицированной электронной подписи. Например, в интернет-банкингах для ЮЛ и ИП практически везде используется неквалифицированная ЭП, и это означает, что подписать платежное поручение в интернет-банкинге от имени ЮЛ сможет только генеральный директор! Согласитесь, это совсем не клеинториентированно. В этой связи, считаем необходимым уточнить данное положение закона, исключив его действие для неквалифицированных сертификатов.
Кроме коллизий закон порождает и много открытых вопросов, которые должны быть решены при разработке подзаконных актов. Примерами таких вопросов являются задачи, связанные с выпуском машиночитаемых доверенностей. Например, надо решить следующие задачи: определить способы публикации, обновления и отзыва МЧД, разработать требования к формату МЧД, определить альтернативные способы предоставления МЧД. Такими альтернативными способами предоставления МЧД может быть публикация МЧД в системе ЭДО, где она применяется, либо публикация в информационных системах третьих лиц, если об этом договорились участники ЭДО. Кроме того, возникает вопрос сохранения юридической силы МЧД в случае, если генеральный директор, который подписывал МЧД, сменился. Квалифицированный сертификат ЕИО ЮЛ в случае смены ЕИО прекращает свое действие (согласно п.4, части 1 статьи 17.2), и формально МЧД становится недействительной, так как не пройдет проверку подпись ЕИО ЮЛ под МЧД.
Кроме вопросов применения МЧД отрытым является и вопрос о классе средств защиты, которые должны применяться для обеспечения безопасности применения облачной подписи и дистанционных способов идентификации. Ответы на указанный вопросы должны появиться при разработке Модели угроз для указанных технологий. От этих ответов существенным образом зависит удобство и функциональность новых технологий. Например, надо понимать какими средствами должна обеспечиваться целостность и конфиденциальность при передаче информации о степени соответствия биометрических персональных данных персональным данным из ЕБС при дистанционной идентификации заявителя при выпуске квалифицированного сертификата, либо какими средствами надо обеспечить защиту от угрозы нарушения целостности (подмены) поручения владельца квалифицированного сертификата подписи на использование его «облачного» ключа ЭП, а также защиту от угрозы отказа владельца сертификата ключа подписи от авторства поручения на использование «облачного» ключа ЭП.
Переосмысление закона «Об электронной подпись» в связи с пандемией
Охватившая многие страны и, в том числе, Российскую федерацию, пандемия новой коронавирусной инфекции заставила посмотреть все бизнес-сообщество, а также регуляторов, на изменения в законе 63-ФЗ под новым углом зрения. Текущая редакция изменений 63-ФЗ предусматривает в качестве основного способа идентификации при получении сертификата ЭП очный способ. Предусмотренные же законом дистанционные способы пока что не разработаны и не сертифицированы. Таким образом, получается, что основной способ идентификации в условиях пандемии является небезопасным, а дополнительных дистанционных пока еще нет. Кроме того, прописанные в законе дистанционные способы все-таки являются недостаточно гибкими. Этой связи появляется понимание того, что необходимо поменять парадигму закона в части идентификации – необходимо рассматривать именно удаленную идентификацию как основной способ идентификации заявителя. При этом целесообразно расширить дистанционные способы – например, методами многофакторной идентификации, которые широко применяются при дистанционном обслуживании клиентов банками.
Также пандемия влияет и на сроки реализации новых положений закона в части изменения процедур использования квалифицированной ЭП. В текущей ситуации бизнесу будет затруднительно провести соответствующие изменения процессов и доработку ИТ систем, как из-за снижения доходов во многих отраслях, так и по причине отвлечения ресурсов на мероприятия по обеспечению непрерывности бизнеса. Поэтому представляется целесообразным изменить сроки некоторых положений закона на более позднее время, поменять парадигму идентификации, предусмотреть разработку и сертификацию новых средств дистанционной идентификации и дистанционной подписи, и дать больше времени бизнесу на изменение процессов и доработку ИТ-систем.
Отметим, что у регуляторов тоже есть понимание того, что целесообразно учесть влияние пандемии на закон, а также необходимо устранить имеющиеся в законе нестыковки. Подтверждением этого является недавно обсуждавшееся среди экспертов письмо Минкомсвязи в адрес Минэкономразвития с предложениями по сдвигу ряда сроков закона на более позднее время.
Выводы
Обсуждавшиеся в этой статье изменения закона 63-ФЗ «Об электронной подписи» однозначно являются новым словом в области формирования и использования электронной подписи. Ряд положений очень нужен и полезен для бизнеса. К таким долгожданным положениям относятся, например, положения про технологии облачной подписи и институт доверенной третьей стороны. Вносимые в закон изменения потребуют существенной переделки процессов и систем ЭДО у юридических лиц и индивидуальных предпринимателей. Повысится роль и проникновение электронной подписи у граждан, так как их личная ЭП теперь будет применяться не только для их личных операций, но и для операций, проводимых в интересах компании работодателя. Закон должен повысить ответственность УЦ и снизить уровень мошенничества с электронной подписью. Вместе, с тем в законе есть определенные нестыковки и правовые лакуны, которые целесообразно устранить. Кроме того, необходимо учесть и уроки, преподанные нам пандемией –в корне поменять парадигму закона в части идентификации и синхронизировать сроки вступления в силу новых требований с готовностью новых технологий и готовностью бизнеса.
Сейчас над перечисленными в настоящей статье, а также над многими другими вопросами по внедрению нового закона «Об электронной подписи» ведется активная работа экспертов из АНО Цифровая экономика и из Центра компетенции «Сколково» на площадке Минкомсвязи. Формируются проекты подзаконных актов в редакции от бизнес-сообщества, идет их активное обсуждение с Минкомсвязью и другими причастными ведомствами, обсуждаются правовые коллизии закона, вопросы сроков внедрения, влияние пандемии. Хочется пожелать коллегам как от бизнеса, так и от государственных органов, успешной работы и синергетического эффекта от такой работы в виде удобных и понятных требований к новым технологиям формирования и использования электронной подписи, дальнейшего развития самого закона «Об электронной подписи», а нам всем успешного применения нового закона и новых технологий в ближайшем будущем.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных