Эксперты предложили альтернативную концепцию применения электронной подписи
AndreyFedorov / Depositphotos.com |
Минкомсвязь России разработала модель, согласно которой физлица будут получать квалифицированную электронную подпись в государственных и частных удостоверяющих центрах, юрлица – только в удостоверяющем центре ФНС России, а представители органов государственной власти – в удостоверяющем центре Федерального казначейства1. Сегодня, напомним, функцию по созданию и выдаче сертификатов ключей проверки электронных подписей для вышеуказанных категорий лиц выполняют удостоверяющие центры, имеющие аккредитацию в Минкомсвязи России, при этом это могут быть как частные, так и государственные центры, обеспечение же участников контрактной системы в сфере закупок осуществляет Федеральное казначейство (п. 7 ст. 2 Федерального закона от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи").
"Физическое лицо в случае необходимости дополнительно представлять организацию без доверенности, должно будет заявить о себе в ФНС России", – сообщил директор правового департамента Минкомсвязи России Роман Кузнецов в рамках круглого стола, организованного Аналитическим центром при Правительстве РФ. В свою очередь, налоговая служба на основании представленных данных сформирует квалифицированный сертификат как представителю юридического лица без доверенности и внесет информацию в реестр сертификатов. Таким образом, у физического лица будет два ключа электронной подписи, которые могут храниться как на разных носителях, так и на одном.
В целях экономии времени, чтобы не пользоваться поочередно ключами электронной подписи, эксперты предложили альтернативный вариант реформы – использование нового вида электронного сертификата, который позволит иметь одну электронную цифровую подпись. "Технология инфраструктуры открытых ключей (далее – PKI), используемая для работы с электронной подписью, признана на международном уровне", – отметил генеральный директор ООО "Электронный экспресс", член РОСЭУ, к. э. н. Алексей Пауков. По его словам, она обоснована математически и ей можно доверять. Действительно, в новейших редакциях стандартов PKI предусмотрена возможность использования сертификата специального формата для связывания дополнительной информации с сертификатом открытого ключа – атрибутивный сертификат, который дополняет сертификат физического лица описанием его полномочий, связанных с отдельным юридическим лицом. Таким образом, сертификат физического лица остается единственным, к нему прилагаются атрибутные сертификаты.
При этом, эксперты отмечают, что необходимо оставить возможность всем категориям лиц обращаться в любые удостоверяющие центры. Помимо этого, ими было отмечено, что необходимо создать единый реестр электронных доверенностей, который поможет как юрлицам, так и государственным органам в режиме реального времени проверять информацию о выдаче полномочий по доверенности и об их отзыве. В случае, если доверенность отозвали или у нее закончился срок действия, то ФНС России получит данную информацию в своей системе и отзовет ранее выданный сертификат.
Алексей Пауков добавил, что пока технологически не закрепят регулирование "электронной доверенности", прекращение ее действия и предупреждение незаконного использования, будут сложности правоприменительного характера, и закон фактически не будет работать. В этом смысле механизм атрибутных сертификатов PKI кажется эксперту более подготовленным и проработанным.
Заместитель начальника Управления методологии и стандартизации информационной безопасности и киберустойчивости Департамента информационной безопасности Банка России Ольга Краева выступила с предложением наделить Банк России полномочиями по созданию удостоверяющего центра. Эксперт выразила опасения, что если юрлица, являющиеся кредитными организациями не будут переведены из удостоверяющего центра ФНС России в Банк России, то он не сможет оперативно направлять информацию налоговым органам об отзыве сертификата. В качестве примера она привела ситуацию, когда в кредитной организации назначается временная администрация и принимается решение о блокировке всей информационной платежной системы. При этом, если у руководителя и главного бухгалтера не отзывается сертификат, то им будет достаточно нескольких минут, чтобы вывести денежные средства со счетов. В связи с этим Ольга Краева отметила, что законопроект должен учесть потенциальные риски, связанные с несвоевременным отзывом сертификатов.
С данным предложением согласился Алексей Пауков, отметив, что в ситуации с коммерческими банками необходимо реализовать механизм контроля на узком сегменте коммерческих банков, где скорость реагирования со стороны Банка России может спасти миллиарды рублей для экономики страны. Так как любая монополия на широком сегменте рынка, по его мнению, может привести к снижению качества оказываемых услуг и технологической стагнации. А монополия государства в секторе цифровой экономики может нанести ущерб по IT-компаниям, являющимся в том числе разработчиками отечественного ПО.
Директор по направлению "Нормативное регулирование" АНО "Цифровая экономика" Дмитрий Тер-Степанов, анализируя законопроект, выделил другую проблему – лицо, выступая в правоотношениях и в разных ролях (от своего имени или от имени юридического лица) использует различное множество подписей с последующими финансовыми затратами (от 1 тыс. до 20 тыс. руб. за каждый сертификат). Кроме того, если информация хранится на флешке, то ее нужно постоянно носить с собой, и есть риск ее потерять. Поэтому эксперт указал, что согласно имеющейся на данный момент версии законопроекта, предложенной Минкомсвязью России, институт электронной подписи содержит следующие положения:
- "облачная" подпись – инструмент, который позволит пользователям применять электронную подпись не только на компьютере, куда вставляется флешка, но и использовать ее с помощью мобильного телефона и хранить на сервере удостоверяющего центра. Введение данного инструмента расширит список государственных услуг, которые можно будет получить с помощью квалифицированной электронной подписи;
- доверенная третья сторона – это юридическое лицо, проверяющее подпись в электронных документах в конкретный момент времени в отношении лица, подписавшего этот документ, для обеспечения доверия при обмене данными и документам. По мнению эксперта, этот инструмент позволит использовать электронную подпись не только внутри страны, но и на базе международных отношений;
- метка доверенного времени – информация в электронной форме о дате и времени подписания документа электронной подписью, создаваемая и проверяемая доверенной третьей стороной, удостоверяющим центром или оператором информационной системы. Дмитрий Тер-Степанов указал, что данный инструмент важный шаг с точки зрения проверки достоверности применения электронной подписи, который дает возможность увидеть точное время совершения действий. На данный момент у лица, использующего электронную подпись, не имеющего полномочия на момент подписания документов, есть возможность исправить время и дату на персональном компьютере и поставить дату, когда оно состояло в соответствующей должности и имело на то полномочия. Помимо этого, данный инструмент поможет убедиться в том, что у лица были полномочия, и подпись не отозвана.
При этом, Алексей Пауков обратил внимание, что технологии облачной подписи существуют давно, но сертификаты на их использование для квалифицированной электронной подписи появились только в 2018 году. С появлением сертификатов ФСБ России появились и основания для использования "облачной" подписи, однако, по мнению эксперта, больших новаций законопроект не содержит.
По мнению Дмитрия Тер-Степанова, данные инструменты помогут справиться с различными схемами мошеннических действий в сфере применения электронной подписи, поскольку вопрос проверки наличия или отсутствия отзыва сертификата стоит сегодня особенно остро. Так, например, в ФНС России могут быть направлены документы с приложением доверенности от руководителя, которая была ранее им выдана, но сейчас предоставлена без его согласия. ФНС России, получив документы с доверенностью, не сможет проверить, было ли фактически дано согласие руководителем, или нет.
Эксперты отметили, что также необходимо усилить требования к удостоверяющим центрам, при этом, с одной стороны, важно сохранить конкурентную среду и отсутствие государственной монополии, с другой, повысить ответственность не только за счет увеличения финансовых средств, а еще и поддержания репутации. Они указали, что если у удостоверяющего центра была отозвана аккредитация, то организация, его открывшая, не может открыть новый удостоверяющий центр, то есть стать повторно органом управления.
В частности Алексей Пауков подчеркнул, что повышение требований к удостоверяющим центрам должно быть разумным по содержанию. Так, согласно исследованию РОСЭУ, если собственный капитал должен будет достигать до 1 млрд. руб., то это приведет к тому, что из числа действующих удостоверяющих центров, такие требования выдержат очень немногие организации. Среди них подавляющее большинство – это крупные сырьевые, транспортные или финансовые компании, которые ранее выпускали электронную подпись только для своих сотрудников, и не готовые работать в масштабах страны. Таким образом, эксперт считает, что над составом требований законодателю еще необходимо подумать.
Участники круглого стола отметили, что необходимо отходить от предложенной Минкомсвязью России модели получения квалифицированной электронной подписи к созданию такого сертификата, который можно будет проверить в онлайн-режиме на наличие полномочий, а также настроить систему автоматизированного отзыва доверенностей с последующей проверкой их наличия или отсутствия. На данный момент отмена доверенности совершается в той же форме, в которой была выдана доверенность, либо в нотариальной форме (подп. 2 п. 1 ст. 188 Гражданского кодекса). Более того, эксперты отметили необходимость внесения изменений в ГК РФ с целью усовершенствования института доверенности, так как доверенностью в настоящее время признается письменное уполномочие, выдаваемое одним лицом другому лицу или лицам для представительства перед третьими лицами (п. 1 ст. 185 ГК РФ), что не подразумевает наличия электронной формы доверенности. Другими словами, введение в оборот электронной формы доверенности позволит переосмыслить этот институт в целом.
Они указали, что это также позволит предоставлять доверенность на ограниченный период времени, например, на сутки, а также на определенные виды деятельности, предотвращая риски, связанные с проверкой действительности доверенности. Однако участники круглого стола подчеркнули, что технического механизма у аккредитованных удостоверяющих центров на выдачу и отзыв такого рода доверенностей на данный момент нет.
При этом, Алексей Пауков считает, что целесообразно оперировать категориями полномочий, а не термином "доверенность", так как полномочия могут быть зафиксированы различными способами. Так, например, в рамках программы "Цифровой экономики" может появиться новая форма фиксирования полномочий, реализованная на основе атрибутного сертификата, и не обязательно называть ее доверенностью.
______________________________
1 С текстом законопроекта "О внесении изменений в некоторые законодательные акты Российской Федерации в связи с совершенствованием регулирования в сфере электронной подписи" и материалами к нему можно ознакомиться на федеральном портале проектов нормативных правовых актов (ID проекта: 02/04/09-18/00083642).