Госдума приняла в первом чтении законопроект об усилении требований к электронной подписи
Также проектом закона предусматриваются ужесточение требований к удостоверяющим центрам и создание такового при федеральном органе исполнительной власти
В комментарии «АГ» один из экспертов отметил, что введение норм о проведении проверок органом исполнительной власти в области обеспечения безопасности «не реже чем каждые 5 лет» и наличие жестких критериев к удостоверяющим центрам уничтожат частный бизнес в этой области. Второй указал, что в законопроекте, очевидно, речь идет о применении дополнительной проверки ЭЦП на национальном уровне, однако без представления соответствующего порядка такой проверки сложно сделать вывод об эффективности дополнительного фильтра.
Госдума приняла в первом чтении законопроект № 747528-7, направленный на усиление требований к деятельности удостоверяющих центров.
Как ранее писала «АГ», в Закон об электронной подписи вводится понятие доверенной третьей стороны – это юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах в конкретный момент времени в отношении лица, подписавшего электронный документ, для обеспечения доверия при обмене данными и электронными документами. Вводится и понятие средств доверенной третьей стороны.
Кроме того, указывается, что электронные подписи, созданные в соответствии с нормами права иностранного государства и международными стандартами, соответствующие признакам усиленной электронной подписи, признаются в РФ имеющими юридическую силу и могут применяться в любых правоотношениях в соответствии с законодательством РФ при условии подтверждения их действительности доверенной третьей стороной.
Законопроектом предлагается добавить к полномочиям федеральных органов исполнительной власти в сфере использования электронной подписи возможность осуществлять аккредитацию, проводить проверки соблюдения доверенной третьей стороной требований, установленных законодательством РФ.
Также в проекте закона отмечается, что удостоверяющий центр будет выдавать электронную подпись только при условии идентификации заявителя, которую предлагается проводить при его личном присутствии или посредством идентификации с использованием электронной подписи при наличии действующего сертификата. При этом в законопроекте отмечается, что в случае, если физическое лицо для предоставления своих биометрических персональных данных в целях проведения идентификации без личного присутствия отказывается от использования шифровальных (криптографических) средств, удостоверяющий центр обязан ему отказать в проведении такой идентификации.
Кроме того, предлагается создать удостоверяющий центр федерального органа исполнительной власти, уполномоченного на осуществление государственной регистрации юридических лиц, а также удостоверяющий центр, уполномоченный на правоприменительные функции по обеспечению исполнения федерального бюджета, кассовому обслуживанию исполнения бюджетов бюджетной системы РФ.
Законопроектом предлагается увеличить минимальный размер собственных средств удостоверяющего центра. Так, указывается, что он должен быть не менее чем 1 млрд руб. либо 500 млн руб. при наличии не менее чем в трех четвертях субъектов РФ одного или более филиала или представительства удостоверяющего центра.
Согласно проекту закона удостоверяющий центр должен хранить ключ электронной подписи, а также информировать его владельца об операциях, проведенных с ключом. Кроме того, предлагается ввести федеральный государственный надзор в сфере электронной подписи для проверки соблюдения аккредитованными удостоверяющими центрами, доверенными третьими сторонами требований Закона об электронной подписи и иных принимаемых в соответствии с ним нормативных правовых актов.
Предлагается изменить порядок действий третьих лиц. Так, в проекте закона указывается, что удостоверяющий центр вправе наделить их полномочиями по приему заявлений на выдачу сертификатов ключей проверки электронной подписи, а также вручению этих сертификатов от имени удостоверяющего центра. Отмечается, что при совершении порученных удостоверяющим центром действий доверенное лицо обязано будет идентифицировать заявителя при его личном присутствии.
Кроме того, вводится уголовная ответственность для таких третьих лиц, а также для лиц аккредитованного удостоверяющего центра за неисполнение обязанностей, предусмотренных законодательством РФ в области электронной подписи, а также в соответствии с порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей.
Законопроектом отмечается, что квалифицированный сертификат ключа проверки электронной подписи, содержащий указание в качестве владельца квалифицированного сертификата на физическое лицо, действующее от имени кредитной организации, оператора платежной системы, некредитной финансовой организации, индивидуального предпринимателя без доверенности, создается и выдается удостоверяющим центром Центрального банка в установленном им порядке. Порядок должен включать, в том числе, возможность идентификации заявителя без его личного присутствия с использованием квалифицированной электронной подписи при наличии действующего квалифицированного сертификата.
В случае прекращения осуществления полномочий представителя, должностного лица Центрального банка квалифицированный сертификат прекращает свое действие.
Законопроектом также регулируется использование квалифицированной электронной подписи при участии в правоотношениях должностных лиц государственных органов и органов местного самоуправления.
В комментарии «АГ» старший юрист практики интеллектуальной собственности юридической фирмы Eversheds Sutherland Алексей Дарков отметил, что предлагаемый институт доверенных третьих сторон – организаций, уполномоченных осуществлять деятельность по проверке электронных подписей в электронных документах, не является новым. Он был призван разрешить вопрос с трансграничным использованием ЭЦП на уровне ЕАЭС. Например, для обеспечения госзакупок в электронной форме.
«Необходимость была вызвана тем, что проверка ЭЦП, созданной в соответствии с законодательством другого государства, может быть технологически невозможна внутри принимающей стороны из-за несовместимости национальных криптографических алгоритмов. Однако в текущем законопроекте, очевидно, речь идет о применении дополнительной проверки ЭЦП и на национальном уровне», – указал Алексей Дарков. При этом он добавил, что без представления соответствующего порядка такой проверки сложно сделать вывод об эффективности данного дополнительного фильтра.
Спорным, по его мнению, является и ужесточение требований к удостоверяющим центрам. «Очевидно, что на рынке останутся только крупные игроки. При этом интересы пользователей ЭЦП предполагается защитить увеличением размера страхового покрытия, т.е. законодатель все равно предполагает наличие фактов нарушений и мошенничества, несмотря на предлагаемые меры по дополнительной проверке со стороны доверенных третьих сторон», – резюмировал он.
Адвокат, партнер АБ «Бартолиус» Сергей Гревцов указал, что то, как будет работать этот законопроект, будет понятно только в ходе практики. «Читать и воспринимать его юристу, который не занимается вопросами, связанными с компьютерными технологиями и информационной безопасностью, – просто невозможно», – отметил он. Сергей Гревцов назвал это минусом в части законотворческой техники, но подчеркнул, что не видит иного способа изложить предполагаемые изменения.
«Положения законопроекта однозначно демонстрируют, что на рынке удостоверяющих центров будет государственная монополия. Могу предположить, что “под себя” его рано или поздно заберет Центральный банк», – указал адвокат. Кроме того, он отметил, что введение норм о проведении проверок органом исполнительной власти в области обеспечения безопасности «не реже чем каждые 5 лет» (т.е. хоть каждые полгода) и наличие жестких критериев к удостоверяющим центрам уничтожат частный бизнес в этой области.