Стороной по договору на выдачу квалифицированного сертификата электронной подписи должен выступать аккредитованный УЦ
Popartic / Shutterstock.com |
Если стороной по такому договору выступает лицо, не являющееся аккредитованным в Минкомсвязи России удостоверяющим центром (далее – "агент"), это влечет за собой существенные риски и может привести к негативным юридическим, финансовым и налоговым последствиям как для самого посредника, так и для конечного получателя электронной подписи.
Вы решили приобрести квалифицированный сертификат ключа проверки электронной подписи (далее – квалифицированный сертификат) и получили предложение от организации, которая именует себя "агентом удостоверяющего центра". Она заявляет, что выпустит квалифицированный сертификат согласно договору, предметом которого является, например, "оказание услуг удостоверяющего центра по изготовлению квалифицированного сертификата ключа проверки электронной подписи на защищенном носителе ключевой информации".
Некоторые УЦ действительно привлекают к сотрудничеству в качестве агентов организации и ИП для выдачи квалифицированных сертификатов от имени УЦ. Вместе с тем, на практике встречаются ситуации, когда агент предоставляет квалифицированные сертификаты от своего имени и за свой счет.
Разберемся, правомерны ли такие действия "агента" и какие негативные последствия возможны для получателя при использовании электронной подписи, сформированной при помощи выданного им квалифицированного сертификата.
Требования к электронной подписи
Электронная подпись – это информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом с ней связана и которая используется для определения личности подписанта. Она позволяет проверить отсутствие искажения информации в электронном документе с момента формирования подписи (целостность), принадлежность подписи владельцу сертификата ключа подписи (авторство), а в случае успешной проверки подтвердить факт подписания электронного документа (неотказуемость).
Федеральный закон от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи" (далее – Закон № 63-ФЗ) определяет простую и усиленную электронные подписи.
Усиленная электронная подпись может быть неквалифицированной и квалифицированной (ст. 5 Закона № 63-ФЗ).
Квалифицированная электронная подпись является самой криптографически стойкой к дешифрованию и может именоваться таковой только в случае соответствия требованиям ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012.
Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью. Такой электронный документ может применяться в любых правоотношениях в соответствии с законодательством РФ, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе (ст. 6 Закона № 63-ФЗ).
Квалифицированную электронную подпись выпускает только аккредитованный УЦ
Квалифицированные электронные подписи могут быть выпущены только удостоверяющими центрами, аккредитованными в Минкомсвязи России. Ведомство публикует реестр таких УЦ на своем сайте.
Из документа
Федеральный закон от 6 апреля 2011 г. № 63-ФЗ
Удостоверяющий центр – юридическое лицо, индивидуальный предприниматель либо государственный орган или орган местного самоуправления, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим Федеральным законом.
УЦ считается аккредитованным при выполнении законодательных требований, в числе которых есть также наличие целого ряда специальных лицензий. Рассмотрим данные требования.
УЦ ведут реестр выданных квалифицированных сертификатов и обеспечивают доступ к содержащейся в них информации. Соответственно, они являются операторами, осуществляющими обработку персональных данных. У них возникает обязанность уведомить об этом Роскомнадзор для включения УЦ в реестр операторов персональных данных (ч. 1 ст. 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных").
Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, проходят оценку соответствия в рамках экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю (далее — ФСТЭК) и ФСБ России в пределах их полномочий (п. 5, 18 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных).
УЦ выдает по обращению заявителя средства электронной подписи, содержащие ключ электронной подписи и ключ проверки электронной подписи или обеспечивающие возможность создания ключа электронной подписи и ключа проверки электронной подписи заявителем, а также сам создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей (ст. 13 Закона № 63-ФЗ). Виды деятельности, связанные с распространением средств криптографии, относятся к лицензируемым в качестве деятельности по предоставлению услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также ИП (постановление Правительства РФ от 16 апреля 2012 г. № 313). Поэтому УЦ необходимо иметь соответствующую лицензию ФСБ России.
После аккредитации у УЦ появляются следующие обязанности:
- Использовать для подписания от своего имени квалифицированных сертификатов квалифицированную электронную подпись, основанную на квалифицированном сертификате, выданном головным УЦ (п. 2.1 ст. 15 Закона № 63-ФЗ), которым является Минкомсвязь России (постановление Правительства РФ от 28 ноября 2011 г. № 976).
- Следовать установленному порядку реализации функций и исполнять обязанности в соответствии с утвержденными Минкомсвязью России требованиями (п. 5 ст. 15 Закона № 63-ФЗ).
- Нести гражданско-правовую и (или) административную ответственность за неисполнение указанных выше обязанностей (п. 7 ст. 15 Закона № 63-ФЗ).
- Особо отметим, что УЦ не имеет права наделять третьих лиц полномочиями по изготовлению ключей квалифицированных электронных подписей и квалифицированных сертификатов от своего имени (п. 6 ст. 15 Закона № 63-ФЗ). Доверенные лица УЦ могут лишь осуществлять "вручение сертификата ключа проверки электронной подписи" (п. 14 ст. 2 Закона № 63-ФЗ). Вручение представляет собой передачу доверенным лицом изготовленного в аккредитованном УЦ – другом юридическом лице – сертификата ключа проверки электронной подписи его владельцу. Таким образом, договор на "оказание услуг удостоверяющего центра по изготовлению квалифицированного сертификата ключа проверки электронной подписи", заключенный с "агентом", который действует от своего имени и за свой счет, оказывается вне правового поля, фактически он нелегитимен. Предъявить впоследствии какие-либо претензии к такому "агенту" будет очень проблематично. Более того, при отсутствии договора с настоящим УЦ, выпустившим сертификат, призвать "агента" к ответственности будет также нетривиальной задачей.
Согласно положениям ст. 11 Закона № 63-ФЗ квалифицированная электронная подпись признается действительной в том случае, если квалифицированный сертификат создан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи сертификата.
Очевидно, что рассматриваемый "агент" не соответствует указанным выше требованиям, а выдаваемые им квалифицированные сертификаты считаются недействительными.
У получателя квалифицированного сертификата возникает риск того, что в случае возникновения каких-либо разногласий, судебного спора или при проведении проверки контролирующими органами документы, подписанные электронной подписью, могут быть признаны подписанными неустановленным или неуполномоченным лицом.
По мнению судей договор, подписанный неуполномоченным лицом, является незаключенным (постановление АС ЗСО от 28 июля 2016 г. № Ф04-2455/2016; ФАС СЗО от 25 ноября 2013 г. по делу № А56-78959/2012; ФАС МО от 22 августа 2008 г. № КГ-А40/7631-08 по делу № А40-55953/07-39-529) либо недействительным (постановление АС МО от 12 октября 2016 г. № Ф05-15232/2016; АС МО от 2 сентября 2014 г. № Ф05-9153/2014).
Налоговые органы могут не признать первичные документы, подписанные неуполномоченным или неустановленным лицом, для целей подтверждения расходов при расчете базы по налогу на прибыль или счета-фактуры для целей принятия НДС к вычету. Скорее всего они квалифицируют их как оформленные с нарушениями требований бухгалтерского и налогового законодательства.
За отсутствие надлежащим образом оформленной "первички" компанию могут привлечь к налоговой ответственности в виде штрафа в размере от 10 тыс. до 40 тыс. руб. (ст. 120 Налогового кодекса).
Как проверить УЦ, "агента" и квалифицированный сертификат
Как было сказано выше, выпуск квалифицированных сертификатов вправе осуществлять только аккредитованный УЦ. Поэтому, даже если вы получаете квалифицированный сертификат у "агента" – доверенного лица УЦ, сначала вам следует изучить деятельность самого УЦ.
Для правильного выбора УЦ рекомендуем обратить внимание на следующие критерии:
- наличие у него аккредитации Минкомсвязи России;
- он является доверенным УЦ ФНС России, ПФР, Росстата;
- наличие лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации;
- наличие лицензии Центра по лицензированию, сертификации и защите государственной тайны ФСБ России;
- аккредитован на всех электронных торговых площадках госзакупок;
- имеет многолетний опыт работы на рынке электронных услуг;
- есть представители в различных регионах РФ;
- наличие круглосуточного сервиса техподдержки.
Информацию об аккредитации УЦ вы можете получить в Реестре, размещаемом на сайте Минкомсвязи России. В нем перечислены все существующие на данный момент аккредитованные УЦ. Кроме того, есть информация об УЦ с приостановленной аккредитацией и с досрочным прекращением аккредитации.
Важно!
Электронная подпись является аналогом собственноручной подписи. Ответственность за ее применение лежит на том лице, на которое она была оформлена.
При дистанционном оформлении квалифицированного сертификата процедура удостоверения личности не в полной мере соответствует требованиям законодательства. Он может попасть к лицу, которое на самом деле заявителем не является. Для номинального владельца квалифицированного сертификата это влечет юридические, финансовые, налоговые риски и другие негативные последствия. Подробнее
Проверку аутентичности квалифицированного сертификата вы можете провести в онлайн-режиме на Портале госуслуг. Следуя указаниям, вы получите заключение о подлинности сертификата. В документе должно значиться: "Подлинность сертификата подтверждена. Статус сертификата, использованного для подтверждения подлинности ЭП: действителен, сертификат выдан аккредитованным удостоверяющим центром".
При получении квалифицированного сертификата у "агента" – доверенного лица УЦ рекомендуем лично явиться к нему в офис и в первую очередь обязательно поинтересоваться, кто выпустил сертификат, а также запросить документы и лицензии УЦ.
Далее следует собственноручно передать все необходимые с вашей стороны документы для оформления и подписать заявление на выпуск квалифицированного сертификата. Это будет являться гарантией того, что "агент" повторно не выпустит сертификат на ваше имя без вашего ведома.
При заключении договора обращайте внимание на прописанные в нем условия. Предметом договора должно являться оказание конкретных услуг по обеспечению юридически значимого электронного документооборота в части выпуска квалифицированного сертификата ключа проверки электронной подписи.
Только при соблюдении перечисленных выше условий "агент" несет полную ответственность в соответствии с положениями Закона № 63-ФЗ.
Из документа
Федеральный закон от 22 мая 2003 г. № 54-ФЗ
Ст. 4.6. Договор на обработку фискальных данных
1. Договор на обработку фискальных данных заключается между оператором фискальных данных и пользователем, за исключением случая, предусмотренного пунктом 7 статьи 2 настоящего Федерального закона.
В заключение отметим, что возникновение рассмотренной в статье ситуации с "агентом" можно исключить путем внесения изменений в Закон № 63-ФЗ. В настоящее время его положения четко не устанавливают обязательность присутствия УЦ в качестве стороны в заключаемом договоре. Необходимо ввести норму по аналогии с Федеральным законом от 22 мая 2003 г. № 54-ФЗ "О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием электронных средств платежа", согласно которой договор на предоставление квалифицированного сертификата ключа проверки электронной подписи может заключаться только между УЦ и пользователем. В таком случае "агент" сможет действовать только от имени УЦ.