Что не так с федеральным законом «об электронной подписи» (63-фз), и как это можно исправить

Алан-э-Дейл       06.05.2022 г.

Последние правки в ФЗ 63

В середине 2019 года законодатели внесли на рассмотрение сразу два нормативных акта, вносящих существенные изменения в закон «Об электронной подписи». Их понятия во многом пересекаются, и, вероятнее всего, в действие вступит только один из них.

Указанные законопроекты предлагают следующие изменения:

  1. В первую очередь, в закон будет внесено несколько новых понятий. Центральным из них является «Доверенная третья сторона». Это будет юридическое лицо, на которое будут возложены функции по проверке ЭП в электронных документах.
  2. Предлагается признать действие в России международных ЭП, созданных с соблюдением международных стандартов, соответствующих усиленным цифровым подписям.
  3. Гражданин, подавший заявку на получение сертификата, может быть идентифицирован при помощи биометрической системы.
  4. Удостоверяющий центр, прошедший аккредитацию, может теперь хранить у себя ЭП клиента и использовать ее строго по поручению последнего.
  5. Предлагается существенно изменить условия аккредитации удостоверяющих центров:
    1. УЦ должен иметь капитал не менее 1 миллиарда рублей.
    2. Страховое обеспечение в 100 миллионов рублей, некоторые ведомства будут иметь исключительное право на выдачу сертификатов;
    3. Аккредитация УЦ будет производиться на 3 года.

Правила применения и хранения электронной подписи в соответствии с законом 63-ФЗ

В 63-ФЗ есть четкое описание и руководство по получению, использованию и хранению цифровой подписи, а также ряд строгих запретов. Например, владельцу ЭЦП нельзя нельзя передавать ее неуполномоченным лицам, оставлять USB-накопитель без присмотра, игнорировать правила хранения и защиты.

Что касается сертификата ключа, то он должен содержать следующую информацию:

  • уникальный номер;
  • дату начала и окончания срока действия;
  • фамилию, имя и отчество — для физических лиц, наименование и место нахождения — для юридических лиц;
  • наименование используемого средства ЭП или стандарта, требованиям которых соответствует ключ;
  • наименование удостоверяющего центра;
  • иную информацию (ИНН, СНИЛС и прочие при квалифицированной ЭП).

Последние поправки в закон 63-ФЗ об электронной подписи

Статьи законопроекта постоянно дорабатываются в связи с расширением возможностей использования ЭП и развитием информационных и компьютерных технологий. Самые последние поправки были внесены 27 декабря 2019 года Федеральным законом №476-ФЗ.

Эти нововведения были направлены на совершенствование регулирования в сфере электронной подписи (ЭП) и ужесточение требований к УЦ. Ознакомиться с документом вы можете на официальном портале (ссылка на документ).
Закон устанавливает требования к порядку аккредитации и деятельности удостоверяющих центров. Например, максимальный срок, на который осуществляется аккредитация, сократился с 3 до 5 лет.

Также поправки обязали УЦ иметь минимальный капитал в размере не менее 1 млрд рублей либо 500 млн при наличии не менее чем в 75% регионов одного или более филиала. При этом минимальный размер финансового обеспечения ответственности УЦ за убытки, причиненные 3-м лицам, увеличивается с 30 до 100 млн рублей, максимальный – со 100 до 200 млн. Для осуществления хранения ключа ЭП он составит 200 и 300 миллионов, соответственно.
Кроме того, между УЦ перераспределяются полномочия по выдаче квалифицированных сертификатов.

Кредитные и финансовые организации будут получать их в удостоверяющем центре Банка России, иные юрлица и индивидуальные предприниматели – в центре Федеральной налоговой службы, госслужащие – в центре Федерального казначейства, а граждане, которые не являются должностными лицами, – в коммерческих удостоверяющих центрах.

Какие еще изменения были внесены в 63-ФЗ об ЭЦП

Во-первых, появится ДТС – доверенная третья сторона. Её роль – проверка ЭП для «обеспечения доверия». В его роли будет выступать юридическое лицо, которое предоставляет услуги онлайн-проверки валидности сертификатов и TSP (меток доверенного времени).

Сегодня у удостоверяющего центра есть «средства УЦ». У ДТС также будут свои «средства», то есть специальное сертифицированное программное обеспечение. При аккредитации ДТС будет применяться та же модель, что и для Удостоверяющих центров.

Во-вторых, иностранные ЭП будут полностью признаваться российской стороной после её проверки аккредитованной ДТС – этого давно ждали многие российские компании-экспортеры.

В-третьих, законом закрепляется универсализация КЭП. Был введен запрет разделять подписи на «наши» и «не наши». Все торговые площадки, участники обмена и другие организации должны принимать все квалифицированные подписи от всех аккредитованных УЦ.

Структура ФЗ

Федеральный закон 63-ФЗ об электронной подписи состоит из 20 статей.

Первые 4 из них носят общий характер и устанавливают сферу действия закона, определения, правовое регулирование таких отношений и принципы использования ЭП.

В ст. 5 ЭП разделяют на 2 вида: простые и усиленные. Последние, в свою очередь, могут быть неквалифицированными либо квалифицированными. И если простая виза только удостоверяет личность подписавшего посредством использования кодов и паролей, то неквалифицированная, к примеру, должна отвечать следующим признакам:

  1. Создана в результате криптографической модификации информации с помощью ключа ЭП.
  2. Устанавливает личность подписавшего документ.
  3. Позволяет обнаружить изменения, внесенные в документ после подписания.
  4. Для ее создания применяют средства ЭП (ст. 12).

Помимо того, что квалифицированная виза должна включать вышеуказанные признаки, ключ ее проверки должен быть указан в сертификате. Также при ее создании и проверке применяют средства ЭП, которые соответствуют требованиям, регламентированным № 63-ФЗ.

Далее речь идет об особенностях использования рассматриваемого понятия. Так, документы, где стоит электронная подпись, закон при определенных условиях считает равнозначными бумажным аналогам (ст. 6). А в 7 статье сказано о признании подписей, созданных по международным стандартам.

Ст. 8 наделяет полномочиями федеральные органы исполнительной власти для работы с ЭП. Такие органы определяет Правительство РФ. Эти структуры аккредитуют и проверяют удостоверяющие центры, в которых можно получить ключ и сертификат ЭП. Кроме того, эти органы власти являются головными удостоверяющими центрами по отношению к аккредитованным.

В ст. 9 сказано об особенностях использования простой ЭП. Ч. 4 этой статьи запрещает использовать именно такую подпись для секретных сведений.

Ст. 10 устанавливает обязанности для участников сделок, которые применяют усиленные подписи. Основным условием является соблюдение конфиденциальности ключей ЭП.

Условия признания квалифицированной ЭП содержатся в ст. 11. Следом даны определения средствам ЭП, которые используют для создания и контроля как самой подписи, так и ее ключей (ст. 12).

В ст. 13–18 установлены правила работы для удостоверяющих центров: общие положения, выдача сертификатов, аккредитация и т. д.

Последние статьи, 19 и 20, содержат заключительные положения и определяют, что Федеральный закон об электронной подписи № 63 вступает в силу со дня его публикации. При этом № 1-ФЗ об ЭЦП прекращает свое действие с 01.07.2013.

Как работает усиленная электронная подпись

Наиболее известным предназначением криптографии является обеспечение конфиденциальности и шифрование. Рассмотрим, как это работает на примере.

Отправитель хочет передать получателю сообщение. Оно содержит информацию, получение доступа к которой посторонними может нанести вред законным интересам обеих сторон. При встрече отправитель и получатель согласовывают алгоритм для шифрования, и ключ, с помощью которого они будут зашифровывать и расшифровывать сообщения.

При дальнейшем взаимодействии обе стороны действуют следующим образом. Отправитель подает на вход алгоритма шифрования сообщение и ключ. Алгоритм проводит зашифрованную информацию, которая передается через незащищенный канал.

Злоумышленник, не обладающий ключом, не сможет понять содержание сообщения, даже если знает используемый алгоритм. Получать подает на вход такого алгоритма ключ и получает исходное сообщение.

Современные криптографические алгоритмы обеспечивают такой уровень защищенности, что на практике злоумышленник может получить несанкционированный доступ к информации только в зонах ответственности отправителя или получателя. Например, скомпрометировав ключ или получив доступ к сообщению до или после работы криптографического алгоритма.

Для получения ЭЦП нужен сам документ (с него делается «слепок» или хэш), ключ пользователя, и набор алгоритмов шифрования. Как правило, это отдельная программа — криптопровайдер. Он шифрует полученный хэш на ключе, который предоставил пользователь. На этом этапе и формируется сама электронная подпись.

Основные положения

В статье 4 настоящего законопроекта определяются основные принципы использования электронно-цифровой подписи. Они действуют постоянно, за исключением случаев, прописанных отдельно в ФЗ или в соглашении сторон ЭДО. Если подпись сформирована в соответствии с законом иностранного государства и нормой международного стандарта, а также отвечает требованиям закона 63-ФЗ, то такая электронная подпись признается в России.

Виды ЭЦП

Законом выделяются 3 вида электронной подписи:

  1. Простая — это пара логина и пароля или код, присланный в виде СМС, для входа в личный кабинет на сайте и подтверждения действий.
  2. Неквалифицированная — обладает большим рядом возможностей, а получают ее путем криптографических преобразований данных. НЭП позволяет обнаружить изменения, внесенные в документ после заверения.
  3. Квалифицированная ЭП — более сложный и юридически полноценный вид заверения ЭД.

КЭП должна отвечать требованиям к предыдущему типу ЭП, а также:

  • Иметь дополнительно ключ проверки ЭП, указанный в сертификате;
  • Проверяться и создаваться при помощи сертифицированных программных средств.

Электронный документ с простой или неквалифицированной цифровой подписью имеет тождественную ручной подписи силу, если это установлено дополнительным соглашением между сторонниками ЭДО. Нормативные акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания документов в ЭФ, заверенные НЭП, равносильны бумажным документам с личной подписью. Полная юридическая сила простой подписи возможна, только если документы составлены и подписаны в соответствии с требованиями статьи 3 ФЗ-63. Подписание документов КЭП не нуждается в подтверждении сторонними актами.

Роль удостоверяющего центра

Уполномоченный федеральный орган (УФО) создается с целью:

  • Аккредитации УЦ;
  • Контроля за соблюдением норм, установленных федеральным законодательством и правовыми актами;
  • Выдачи предписаний об устранении недостатков в работе;
  • Осуществления полномочий вышестоящего УЦ по отношению к аккредитованным удостоверяющим центрам.

УФО хранит информацию обо всех аккредитованных центрах: действующих и прекративших работу, а также приостановивших деятельность в связи с отозванной аккредитацией.

Деятельность УЦ

Работа удостоверяющего центра связана с:

  • Созданием и выдачей сертификатов ключей проверки ЭП и контролем за их использованием;
  • Выдачей средств ЭП и ключа ЭП, ключа ее проверки или средств, для обеспечения создания ключей;
  • Ведением реестра выданных сертификатов ключей проверки ЭП и установлением порядка его ведения.

Уполномоченный федеральный орган (УФО) — портал

Информация, содержащаяся в реестре сертификатов, должна быть актуальной и защищенной от доступа третьих лиц. Удостоверяющий центр, осуществляющий выдачу сертификатов, обязан:

  • В письменной форме доводить до сведения клиентов информацию о правилах пользования ЭП и средств ЭП, рисках и необходимых мерах защиты;
  • Предоставлять доступ к реестру сертификатов;
  • Обеспечивать сохранность ключей ЭП.

В квалифицированном сертификате, выданном клиенту, УЦ должен указать:

  • Номер сертификата, срок его выдачи и дату окончания действия;
  • СНИЛС;
  • Ключ проверки ЭП;
  • Наименование и адрес УЦ;
  • ФИО владельца сертификата или номер ЕГРЮЛ организации.

Каждый участник электронного взаимодействия имеет право применять любые технологии и технику, при помощи которой можно использовать ЭП и которая не противоречит ФЗ.

Формирование новой схемы представления полномочий

Данное изменение станет самым серьёзным и сильнее остальных отразится на различных бизнес-процессах компаний.

Напомним о том, что ранее, когда организация получала сертификат электронной подписи на представителя организации, являющееся уполномоченным лицом, — удостоверяющий центр осуществлял выдачу сертификата, содержащего сведения об организации и о владельце сертификата.

Всё это приводило к возникновению двух основных проблем. Особенно остро они ощущались владельцами крупных компаний, в которых практиковалось использование большого количества сертификатов уполномоченных лиц.

1. В случае, когда в группе компаний одно уполномоченное лицо обладает полномочиями на представление нескольких компаний, то ему необходимо получить в УЦ число сертификатов, соответствующих числу представляемых им компаний.

2. Отдельные участники электронного взаимодействия были уверены, что сертификат ЭП, содержащий в себе заведомо достоверные сведения как о юридическом, так и о физическом лице, представляющем организацию, является залогом того, что УЦ, при выдаче такового сертификата, в обязательном порядке осуществляет проверку полномочий сотрудника выступать от имени этого юридического лица, а также в том, что таковые полномочия в силе.

В реальности действительно существует обязанность УЦ по осуществлению проверки полномочий, но только суть таковых полномочий не всегда ясна. Сертификат не делегирует конкретные обязанности на конкретного сотрудника, равно как нельзя с помощью сертификата определить законность и пролонгацию полномочий того или иного сотрудника фирмы.

Как это повлияет на бизнес

Начиная с 1 января 2022 года уполномоченные лица организации в документообороте должны начать применять сертификаты физических лиц, при этом привязка того или иного физлица к тому или иному юрлицу будет происходить посредством электронной доверенности.

Таким образом, у бизнеса появится возможность получить сертификат юрлица, не содержащий сведения о физлице и руководителе, его представляющем. Это нужно для того, чтобы установить такой сертификат в информационной системе, которая будет автоматически подписывать направляемые в нее документы.

Напомним, до 1 января 2022 года действуют два сценария:

  • Вы работаете как раньше.
  • Вы начинаете действовать по новым правилам: обращаетесь за получением сертификата на директора компании в УЦ ФНС, а на физлицо — в переаккредитованный по новым требованиям коммерческий УЦ.

У вас есть право самостоятельно выбрать сценарий до конца текущего года. Обязательство для всех организаций действовать по новым правилам вступает в силу с 1 января 2022 года.

Виды электронных подписей

Действующий закон об ЭЦП поясняет, что представляет собой ЭЦП и какие именно сертификаты допускается использовать для электронного документооборота на территории Российской Федерации.

Можно выделить ключевые положения:

  1. ЭЦП – это электронный документ, являющийся сертификатом, который генерируется с применением криптошифрования и может использоваться для идентификации личности гражданина;
  2. На данный момент юридически признаются только два вида ЭЦП – усиленная неквалифицированная и квалифицированная (первые в будущем будут упразднены, выдавать их удостоверяющие центры не будут);
  3. Простые электронные подписи, которые применяются для идентификации пользователя – не имеют юридическую силу (но их использование – не запрещается).

То есть, достаточно всего один раз получить подпись и ею можно будет воспользоваться во всех поддерживаемых сферах.

  • портал Госуслуги;
  • электронные документы (для заверения, такие файлы могут использоваться в том числе для отчетности перед фискальными органами);
  • ФНС, Росреестр (идентификация на их сайте или подготовка электронных документов); банковские порталы (интернет-банкинг).

На текущий момент сфер, где могут применяться электронные подписи – множество. Но чаще всего их используют именно для дистанционной работы с порталом Госуслуги, где можно, например, оплатить штрафы, записаться на прием к врачу, отправить финансовую отчетность в налоговую службу, отправить запрос в Росреестр на регистрацию права собственности или даже подать заявление на регистрацию брака.

В ФЗ 63 указано, что ЭЦП может применяться в:

  • гражданско-правовых сделках;
  • для получения государственных услуг и взаимодействия с федеральными органами;
  • для осуществления иных юридических действий.

По сути же, ЭЦП может использоваться точно так же, как и ручная подпись – для заверения своих действий.

Новые требования к УЦ

Поправки в Закон об ЭП установили более высокие требования для аккредитации удостоверяющих центров.

Например, повысили размер капитала аккредитованных УЦ – не менее 1 млрд рублей (500 млн рублей, если есть обширная сеть филиалов7) вместо 7 млн рублей. Дословно в Законе об ЭП теперь будет сказано так (п. 1 ч. 3 ст. 16): «минимальный размер собственных средств (капитала) составляет не менее чем один миллиард рублей либо пятьсот миллионов рублей при наличии не менее чем в трех четвертях субъектов Российской Федерации одного или более филиала или представительства удостоверяющего центра».

Увеличили и размер страхового покрытия (пункт 2 ч. 3 ст. 16 Закона об ЭП).

Усложняется процедура аккредитации УЦ. Специально созданный коллегиальный орган будет рассматривать документы УЦ, оценивать его добросовестность и принимать решение об аккредитации. Срок действия аккредитации сократится до 3 лет.

Справочно

По мнению авторов законопроекта, новые требования позволят не допустить на рынок недобросовестных участников, а получившие аккредитацию УЦ будут более ответственно работать. В то же время, по оценке экспертов, новым требованиям смогут соответствовать не более 20 из 500 аккредитованных сейчас УЦ.

Повышенные требования для аккредитации вступят в силу уже 1 июля 2020 года. После этого удостоверяющие центры могут направлять заявления на аккредитацию и необходимые документы.

Аккредитация удостоверяющих центров, которые не будут соответствовать новым требованиям, закончится 1 января 2022 года. Тогда же станут недействительными все электронные подписи, которые эти УЦ выдадут до 1 июля 2020 года. Что произойдет с подписями, которые такие УЦ выпустят после 1 июля 2020 года, станет ясно позже – когда утвердят необходимые нормативные правовые акты.

Статья 6. Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью

1. Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и может применяться в любых правоотношениях в соответствии с законодательством Российской Федерации, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.

2. Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами, нормативными актами Центрального банка Российской Федерации (далее — нормативные правовые акты) или соглашением между участниками электронного взаимодействия, в том числе правилами платежных систем (далее — соглашения между участниками электронного взаимодействия). Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных неквалифицированной электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать порядок проверки электронной подписи. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны соответствовать требованиям статьи 9 настоящего Федерального закона.

3. Если в соответствии с федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или обычаем делового оборота документ должен быть заверен печатью, электронный документ, подписанный усиленной электронной подписью и признаваемый равнозначным документу на бумажном носителе, подписанному собственноручной подписью, признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью и заверенному печатью. Федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия могут быть предусмотрены дополнительные требования к электронному документу в целях признания его равнозначным документу на бумажном носителе, заверенному печатью.

3.1. Если федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами предусмотрено, что документ должен подписываться несколькими лицами, электронный документ должен быть подписан лицами (уполномоченными должностными лицами органа, организации), изготовившими этот документ, тем видом подписи, который установлен законодательством Российской Федерации для подписания изготовленного электронного документа электронной подписью.

4. Одной электронной подписью могут быть подписаны несколько связанных между собой электронных документов (пакет электронных документов). При подписании электронной подписью пакета электронных документов каждый из электронных документов, входящих в этот пакет, считается подписанным электронной подписью того вида, которой подписан пакет электронных документов. Исключение составляют случаи, когда в состав пакета электронных документов лицом, подписавшим пакет, включены электронные документы, созданные иными лицами (органами, организациями) и подписанные ими тем видом электронной подписи, который установлен законодательством Российской Федерации для подписания таких документов. В этих случаях электронный документ, входящий в пакет, считается подписанным лицом, первоначально создавшим такой электронный документ, тем видом электронной подписи, которым этот документ был подписан при создании, вне зависимости от того, каким видом электронной подписи подписан пакет электронных документов.

Сфера действия

Правовые отношения в области использования электронных подписей распространяются на:

  • Заключение гражданско-правовых сделок;
  • Оказание муниципальных и государственных услуг и выполнение обязанностей;
  • Совершение действий, предусмотренных ФЗ РФ, ведущих к возникновению иных юридических последствий.

Федеральный закон состоит из 20 статей. Первые 4 рассматривают возможности и сферы применения законопроекта, основные понятия и принципы использования ЭЦП. Затем начинается базовая часть, включающая:

  • Виды цифровой подписи — простая, усиленная, квалифицированная и неквалифицированная;
  • Условия признания ЭД и ЭП;
  • Права органов власти в аккредитации и контроля за работой УЦ;
  • Типы криптографической защиты;
  • Применение простой цифровой подписи;
  • Обязанности сторон сделки с применением усиленной подписи;
  • Признание юридической силы КЭП и средства ее контроля;
  • Условия функциональности УЦ.

Заключительные статьи представляют собой итоговые положения, даты вступления в силу законопроекта и обобщают документ.

Гость форума
От: admin

Эта тема закрыта для публикации ответов.