Наверх

Электронная подпись и текущие изменения законодательства

Время чтения: 7 минут
3
Электронная подпись и текущие изменения законодательства

Вокруг электронной подписи происходит очень много активностей: вводится понятие облачная ЭП и доверенная третья сторона, меняется порядок выдачи сертификата, ужечтояются требования к УЦ и т.д. Всё это вызывает не мало споров!

В последнее время вокруг электронной подписи (далее — ЭП) очень много активностей и не меньше споров. Мы решили собрать все факты воедино, и вот что получилось.

На текущий момент можно выделить несколько направлений, по которым совершенствуется законодательство. О каждом из них мы расскажем ниже.

Ужесточаются требования и ответственность удостоверяющих центров

Это предложение напрямую связывают с ростом числа мошеннических действий с помощью ЭП.

К ужесточению требований можно отнести возможное уменьшение количества аккредитованных удостоверяющих центров (далее — УЦ), так как государство планирует взять их функции на себя (такой статус может остаться только у Казначейства России, ФНС РФ, Минкомсвязи РФ). Об этом мы писали ранее.

Предложенные инициативы вызывают опасения бизнес-сообщества прежде всего из-за монополизации рынка ЭП и возможного ухудшения качества оказываемых услуг.

Данный вопрос обсуждали и в рамках научно-практической конференции «РусКрипто-2019». Как сообщает Единый портал электронной подписи, выступление о работе над спорным законопроектом представителя АНО «Цифровая Экономика» Д.В. Тер-Степанова вызвало большой интерес. По его словам, в ходе длительных дискуссий «удалось объяснить, что госмонополия в изготовлении и распространении сертификатов электронной подписи — это не всегда хорошо». Однако сегодняшнее положение дел в сфере деятельности удостоверяющих центров демонстрирует неполноценность созданной среды доверия. Именно на исправление этой ситуации и направлен обсуждаемый законопроект. Внести его на рассмотрение Госдумой РФ планировалось в апреле 2019 года.

Дополнительно отмечу, что уже в мае началось общественное обсуждение законопроекта «О внесении изменений в Федеральный закон „Об электронной подписи“ в части совершенствования процедуры аккредитации удостоверяющих центров». Его целью служит внедрение реестровой модели оказания госуслуги по аккредитации удостоверяющего центра.

Введение реестровой модели — один из ключевых принципов реформирования системы предоставления госуслуг. Это позволит исключить бумажный документ и заменить его на юридически значимую запись в электронном реестре.

В правовое поле вводится облачная электронная подпись

Фактически примеры ее использования были и ранее. Это нововведение призвано сделать применение ЭП удобнее и мобильнее.

Член Комитета Совета Федерации по конституционному законодательству и государственному строительству Ирина Рукавишникова прокомментировала предлагаемые изменения в части облачной ЭП:

«Не нужно будет носить с собой брелок-флешку, не нужно будет задумываться о том, что на вашем смартфоне или компьютере должно быть установлено какое-то программное обеспечение, которое отсекает вирусы и так далее. И заход в этот облачный сервис будет максимально упрощён, из различных источников можно туда зайти и соответственно использовать уже свою электронную подпись» (источник: Телеканал Совета Федерации).

Меняется порядок выдачи сертификата электронной подписи

Предлагаемые коррективы позволят повысить степень доверия к электронному взаимодействию. Тут же стоит отметить работу над законопроектом об универсальном способе идентификации лиц. Некоторые источники сообщают, что идентификацию планируется проводить по лицу и голосу.

Появляется новый участник — доверенная третья сторона

Она будет осуществлять деятельность по проверке электронных подписей в электронных документах в фиксированный момент времени, а также осуществлять документальное подтверждение результатов такой проверки. В будущем это поможет упростить организацию трансграничного электронного документооборота.

Закрепляется универсальность использования электронной подписи

По планам законодателя, она будет заключаться как в способе получения — лицо сможет обратиться за сертификатом ключа проверки через МФЦ, так и в расширении области применения ЭП. Планируется обеспечить возможность использования одного сертификата ключа проверки в рамках разных сервисов и площадок. Сейчас, к сожалению, нередки ситуации, когда на разных площадках мы встречаем разные требования и не можем использовать один сертификат для разных сервисов.

К тому же предлагается популяризировать использование усиленной квалифицированной ЭП физическими лицами, сейчас она наиболее распространена в секторах B2B и B2C.

Напомню, что для общения с госорганами лицу достаточно простой ЭП.

Устанавливаются правила визуализации электронной подписи

Их введение позволит унифицировать способ отображения факта подписания ЭП. Этот момент тесно связан с совершенствованием законодательства в области хранения электронных документов и регулирования работы с ними.

О чём спорим?

Пока официально можно ознакомиться только с одним законопроектом (о внесении изменений в Федеральный закон «Об электронной подписи» и др. на https://regulation.gov.ru), который находится на стадии подготовки заключения по оценке регулирующего воздействия. О других предложениях известно из официальных источников, но тексты изменений пока общественности не доступны. Так, законопроект, устанавливающий легитимность использования облачной ЭП, ее универсальность планировалось внести на рассмотрение Госдумой РФ еще в январе-феврале 2019 года, однако по последним данным он еще проходит процедуру внутреннего согласования (источник: РИА Новости).

Со своей стороны, хотим отметить серьезность намерений законодателя, особенно в части изменений, касающихся обеспечения единой среды доверия. Ужесточение требований к удостоверяющим центрам горячо обсуждается, так как сокращение их количества и увеличение финансовых активов могут не привести к улучшению качества оказания услуг и не повысят ответственности недобросовестных сотрудников удостоверяющих центров.

Тем не менее именно вопрос недоверия к существующей системе идентификации заявителей и выдаче сертификатов ключей ЭП нужно решить в первую очередь для массового использования электронной подписи в гражданско-правовых отношениях.

Что касается вопросов введения новых сущностей (облачная ЭП, доверенная третья сторона, полномочный сертификат), остается только ждать реализации расплывчатых правовых формулировок, чтобы оценить влияние консультаций с представителями бизнеса на законотворческую деятельность.

Чтобы прочитать эту статью до конца,
или зарегистрируйтесь

Комментарии 3

Согласен, что сокращение числа аккредитованных УЦ ситуацию не исправят.

В свете последних событий, видится, что для работы УЦ требуется явный и единый регламент идентификации лица и выдачи ключевой пары.

Дистанционное получение ключевой пары хоть и удобно, но развязывает руки мошенникам в получении ключей на чужие имена, а технологии определения человека по лицу и голосу не настолько совершенны, чтобы на них можно было положиться, так что от них следовало бы отказаться, по крайней мере пока.

Итого, на текущий момент требуется явное закрепление ответственности за ложно-положительную идентификацию лица при выдаче ключевой пары. Так же хотелось бы иметь единый реестр выданных ЭП (а не АУЦ), в рамках которого либо невозможно будет создать более одной ключевой пары на лицо, либо отслеживать все выданные сертификаты всех аккредитованных УЦ по какому-либо реквизиту (ИНН, например). А так же закрепить запрет по-умолчанию на использование ЭП без "инициирующего" заявления лица. (т.е. сначала получить ключевую пару ЭП, потом с этим ключём прийти в МФЦ и в личном присутствии активировать своё право на использование ЭП). Это выглядит излишне усложненно, но позволит защитить неподкованные в сфере ЭП слои населения (пожилых людей, например).

В правовое поле вводится облачная электронная подпись

Нет такой электронной подписи. Предлагается сделать легитимной возможность хранения криптоключей пользователя и применения СКЗИ у на стороне оператора сервиса электронной подписи. Подпись остается квалифицированной или неквалифицированной.

Тут же стоит отметить работу над законопроектом об универсальном способе идентификации лиц. Некоторые источники сообщают, что идентификацию планируется проводить по лицу и голосу.

Идентификация должна быть только при личном присутствии, дистанционная идентификация, в т.ч. по ненадежной биометрии, только расширит возможности злоумышленников.

Планируется обеспечить возможность использования одного сертификата ключа проверки в рамках разных сервисов и площадок. Сейчас, к сожалению, нередки ситуации, когда на разных площадках мы встречаем разные требования и не можем использовать один сертификат для разных сервисов. Напомню, что для общения с госорганами лицу достаточно простой ЭП.

Это и сейчас работает универсально, за исключением корпоративных информационных систем, которые принимают квалифицированные сертификаты, но не все. Закон не сможет их побороть. Простой ЭП (которой нет в природе, есть аутентификация по логину/паролю без защиты документа от подделки) не достаточно для большинства юридически значимых  действий.

Устанавливаются правила визуализации электронной подписи

Невозможно визуализировать ЭП (это шифр), по ГОСТ Р 7.0.97-2016 визуализируется электронный документ (отметка п. 5.23. лишь сигнализирует о существовании ЭП в ЭД, которую следует проверить с помощью средства ЭП).

Ужесточение требований к удостоверяющим центрам горячо обсуждается, так как сокращение их количества и увеличение финансовых активов могут не привести к улучшению качества оказания услуг и не повысят ответственности недобросовестных сотрудников удостоверяющих центров.

Вопрос не в количестве и качестве услуг УЦ, он в плоскости подделки документов и достоверности их выявления при идентификации заявителей. Пока что официально ни один УЦ не лишен аккредитации и не ответил "за свои нарушения" имеющейся сегодня многомиллионной финансовой ответственностью. Это говорит о том, что нарушений именно в деятельности УЦ нет, а есть "разговоры и подозрения в проблемах" в ходе готовящейся переделки и ликвидации/монополизации/окологоскапитализации рынка (которая приведет к новым проблемам, рискам и повышению ценников).

Так же хотелось бы иметь единый реестр выданных ЭП (а не АУЦ), в рамках которого либо невозможно будет создать более одной ключевой пары на лицо, либо отслеживать все выданные сертификаты всех аккредитованных УЦ по какому-либо реквизиту (ИНН, например). А так же закрепить запрет по-умолчанию на использование ЭП без "инициирующего" заявления лица. (т.е. сначала получить ключевую пару ЭП, потом с этим ключём прийти в МФЦ и в личном присутствии активировать своё право на использование ЭП).

Единый реестр сертификатов будет пылесосом персональных данных, что еще хуже. Нельзя ограничивать лицо в количестве сертификатов (они для разных задач, как и счета в банках). "Инициирующие заявления" расширят возможности злоумышленников и излишне забюрократизируют процесс.

Нужно для начала запретить получение сертификатов по доверенности (хотя бы обязательно сделать ее только нотариальной, хотя с нотариатом проблем хватает), прекратить свободное хождение и пересылку по открытым каналам связи копий документов, удостоверяющих личность (копию паспорта требуют на каждом углу), и показательно наказывать за подделку документов (на уровне дензнаков).

Михаил, благодарю за интерес к теме! Действительно, для улучшения ситуации на рынке ЭП нужно найти и соблюдать необходимый баланс между удобством и безопасностью. Возникающие все чаще новости о мошенничестве в этой сфере, к сожалению, говорят об обратном.
Вадим, спасибо за постоянные и содержательные комментарии подобных новостей! Целью статьи было собрать воедино все имеющиеся законодательные инициативы в области ЭП. Было интересно узнать Ваше мнение относительно них. 

Чтобы прокомментировать, или зарегистрируйтесь