Электронная подпись по-новому. Чего ждать от поправок ФЗ № 63

В декабре Президент РФ подписал закон, который должен изменить многое на рынке электронного документооборота. Во всяком случае в этом уверены эксперты. Чего они опасаются и чему рады, рассказываем далее.

Спасибо, что другой

Федеральный закон № 476, который вносит поправки в ФЗ «Об электронной подписи», мы уже обсуждали в ноябре. Тогда речь шла о проекте документа – его впервые вынесли на рассмотрение в Госдуму. Поправки вызвали много вопросов. Причём как у независимых юристов, так и представителей бизнеса.

Позже законопроект не пришелся по душе Кремлю – после первого чтения с критикой на него обрушилось Государственно-правовое управление Президента РФ. Отрицательный отзыв поступил 7 декабря. Многие облегченно выдохнули – появился шанс, что законопроект станут детально и тщательно дорабатывать, а поспешных изменений, которые казались выгодными только государству, не будет.

Однако всё пошло не так. Никто не ожидал, что скорость законодателей будет молниеносной – проект ФЗ № 476 не только исправили, но и отправили на второе и третье чтения, а затем в Совет Федерации. Всё закончилось под Новый год, когда многие уже не обращали внимание на новости, – 27 декабря 2019 года изменения закона «Об электронной подписи» подписал Президент РФ.

Версия 2.0. Кто выиграл? 

Чем отличается окончательный документ от того, что рассматривали в ноябре 2019-го? Законодатели «очистили карму» перед Кремлем. Они убрали положения, согласно которым в России могли бы ввести явную монополию на выдачу электронной подписи (ЭП).

Напомним, прежняя версия жестко ограничивала круг организаций, которые могут предоставлять такие услуги населению и бизнесу. К их числу относились ФНС, Центробанк и Казначейство РФ. А коммерческие удостоверяющие центры (УЦ), которые есть сейчас, могли уйти в прошлое.

Подписанный закон оказался «мягче» – монополии не случилось. Хотя передела на рынке всё-таки не избежать, уверены эксперты. Основная причина – государство ужесточило требования к УЦ в целом.

При этом увеличился размер финансового обеспечения ответственности за убытки, причиненные третьим лицам, – с 30 до 100 млн, со 100 млн до 200 млн рублей. А срок аккредитации УЦ уменьшился до 3 лет.

«Стоит отметить, что удостоверяющие центры ФНС России, Федерального казначейства и Центробанка «по умолчанию» будут являться аккредитованными УЦ. И даже если по результатам проверок будут выявлены несоответствия, в отношении них не могут быть осуществлены приостановка или прекращение аккредитации, – уточняет Алексей Сабанов, заместитель генерального директора компании «Аладдин Р.Д.». – Особенно выделено право УЦ ФНС России наделять доверенных лиц полномочиями на выдачу квалифицированных сертификатов собственного имени. При первом приближении такая организация напоминает систему доверенных удостоверяющих центров ФНС России, которая практиковалась в недавнем прошлом».

Таким образом государство может легко избавиться от небольших удостоверяющих центров. И пусть не монополия, но её «мягкая» версия всё-таки прослеживается в законе.

Но это ещё не все преимущества изменений для государства. «В первую очередь оно (в лице ФНС и Центробанка) получает потенциальный рычаг «мгновенного отключения» для бизнесов, – поясняет Елисей Иодковский, главный специалист отдела информационной безопасности компании ЭОС. – Поскольку теперь можно будет получить квалифицированный сертификат «на юрлицо» только на владельцев бизнеса и только в государственных УЦ, а все остальные электронные подписи организации будут иерархичны и зависимы через электронные доверенности от этого «главного сертификата», то его блокировка по любым причинам означает мгновенную невозможность легитимно использовать ЭП всем, имеющим право подписи в иерархии организации».

Эксперты добавляют, что закон также выгоден криптографам – производителям сертифицированного ПО. Уже скоро потребуются новые версии решений, умеющие обрабатывать утвержденную логику работы «ЭП+доверенность(и)» и учитывающие другие новые сущности, появившиеся в законе. В числе последних: «облачная» ЭП, ДТС (доверенная третья сторона), метка доверенного времени.

О новинках по порядку

При такой схеме, по словам эксперта, остро встают вопросы идентификации и аутентификации владельцев подписей. Их необходимо отразить в регламентах и зафиксировать в требованиях к средствам УЦ. Причем тиражирование систем, использующих «облачную подпись», в скором будущем вынудит разработчиков и государство организовать роуминг между ними. Иначе формирование ЭП пользователями в разных системах будет бессмысленным и станет огромной проблемой.

«Введение облачной ЭП в закон как сущности и передача роли «провайдеров облачной ЭП» аккредитованным УЦ приведут к тому, что бизнес будет строиться не на выдаче сертификата, а на каждом подписании документа, – добавляет Елисей Иодковский. – Еще одно последствие этого нововведения связано с терминологией: используется термин «хранимые ключи ЭП» (облако не упоминается). Конечные пользователи почувствуют это изменение на себе, ведь главное удобство облачной ЭП – не нужно иметь «инфраструктуру ЭП» (криптография, токен) на каждом рабочем месте. Вместо этого достаточно телефона с доступом в интернет».

Какие важные изменения ещё вводит новый закон?  

Во-первых, появится ДТС – доверенная третья сторона.  Её роль – проверка ЭП для «обеспечения доверия». Это юрлицо, то есть частный бизнес, который предоставляет услуги OCSP (онлайн-проверки валидности сертификатов) и TSP (метки доверенного времени, которые тоже ввели в закон).

«Сейчас у удостоверяющего центра есть «средства УЦ». Так и у ДТС будут свои «средства ДТС», то есть специальное сертифицированное программное обеспечение, – уточняют эксперты. – Возможно, это приведёт к тому, что ДТСы отделятся от УЦ, а возможно, и от операторов ЭДО. Фактически потребность в таких компаниях может означать появление нового бизнеса». Аккредитация ДТС будет строиться по общей модели – «как для УЦ».

Во-вторых, иностранные ЭП будут полностью признаваться российской стороной после её проверки аккредитованной ДТС – этого давно ждали многие российские компании-экспортеры.

В-третьих, законом закрепляется универсализация КЭП. «Вводится прямой запрет делить электронные подписи на «наши» и «не наши». Все торговые площадки, участники обмена и другие организации должны принимать все КЭП от всех аккредитованных УЦ, вне зависимости от прописанных OID (убивается предыдущая схема монетизации – «ЭП для площадок, ЭП для казны, ЭП для…»)», – поясняет представитель ЭОС.

В-четвертых, не введено двойное подписание документов от юрлица, которое обсуждалось в предыдущих версиях закона. «Однако появилась доверенность для физических лиц, которые действуют от имени компании, – рассказывает Татьяна Жигалова. – Доверенность потребуется, когда электронный документ подписывает физическое лицо, не являющееся единоличным исполнительным органом в организации».

Электронная подпись теперь невыгодна?

Когда закон только начали рассматривать в Госдуме, российские пользователи заговорили о возможном росте цен на ЭП. Некоторые компании стали сообщать прямо, что из-за этого готовы отказаться от электронного документооборота совсем.

 «Полагаю, будет как обычно – сначала придется сколько-то заплатить за возможность работать «по-новому», а дальше цены стабилизируются примерно на том же уровне, что и сегодня, – комментирует Елисей Иодковский. – В то же время переход на сервисную модель ЭП (облачная ЭП) предполагает меньшие или вовсе нулевые начальные инвестиции, а оплату – совсем небольшую – только за каждый факт подписи. Так что в этом отношении можно говорить о снижении затрат на использование ЭП, что выгодно для бизнеса».

Что дальше

Большинство изменений ФЗ «Об электронной подписи» вступают в силу уже 1 июля 2020 года. Принятый закон № 476 обязывает государство максимально быстро разработать новые положения Правительства РФ, приказы ФНС и т.д., а также скорректировать множество действующих нормативных правовых актов, регламентирующих применение ЭП в России.

«Справятся ли в Кремле с этой задачей за полгода – уже другая история», – резюмируют эксперты.

***

О прочих знаковых новеллах федерального закона

Федеральный закон от 27.12.2019 № 476-ФЗ кардинально реформирует рынок электронной подписи. Кроме перечисленных выше инициатив вводится информирование граждан о выпущенных на них сертификатах. Принимая во внимание участившиеся случаи мошенничества с электронной подписью, активно освещаемые в СМИ в прошлом году, подобное нововведение как никогда кстати.

«Одной из наиболее значимых и ожидаемых для пользователей электронной подписи инициатив стало информирование граждан о выпущенных на их имя квалифицированных сертификатах, которое планируется реализовать через портал «Госуслуги». Сроки запуска нового сервиса пока уточняются», – сообщает коммерческий директор АО «Аналитический Центр» (Единого портала Электронной подписи iEcp.ru) Алексей Сенченков.

Эксперт отметил, что принятый закон во многом рамочный. Так, требуется принятие обширной подзаконной нормативной базы, которая разъяснит в том числе порядок:

• предоставления данных о выпущенных сертификатах через портал «Госуслуги»;
• хранения, использования и отмены электронных машиночитаемых доверенностей, которые будут использоваться при подписании документов сотрудниками компаний и индивидуальных предпринимателей;
• определения максимальной стоимости квалифицированных сертификатов ключей проверки электронной подписи, которые будут выпускать аккредитованные удостоверяющие центры;
• и других новелл.

В противовес положительной инициативе по запрету введения объектных идентификаторов (OID) сверх тех, что предусмотрены законодательно, в структуру сертификата решено внести отметку о способе прохождения заявителем идентификации при получении квалифицированного сертификата. Федеральный закон от 27.12.2019 № 476-ФЗ допускает не только идентификацию при личной явке, но и дистанционные способы: при помощи КЭП, загранпаспорта нового образца, ЕСИА (Единая система идентификации и аутентификации), ЕБС (Единая биометрическая система).