Разделы

Безопасность Стратегия безопасности Бизнес Законодательство Интернет Интернет-ПО

В России введут уголовную ответственность за неправильную выдачу электронной подписи

Минэкономразвития просит депутатов скорейшим образом принять законопроект с ужесточением требованием к удостоверяющим центрам электронной подписи. Предполагается увеличить минимальный размер чистых активов таких организаций до 1 млрд руб., ввести уголовную ответственность для их сотрудников, а выдачу электронных подписей юридическим лицам полностью передать в ФНС и Центробанку.

Цифровая экономика требует ужесточения требований к электронной подписи

Министр экономического развития Максим Орешкин выступил за скорейшее принятие законопроекта, ужесточающего требования к удостоверяющим центрам электронной подписи. Соответствующее заявление министр сделал в ходе парламентских слушаний в Госдуме, посвященных вопросам Цифровой экономики.

В Госдуму были внесены сразу два законопроекта с поправками в Закон «Об электронной подписи». Первый из них разработан сенаторами Владимиром Кравченко, Любовью Глебовой и Михаилом Пономаревым, второй - сенатором Людмилой Боковой.

Как в России ужесточали требования к выдаче электронной подписи

Напомним, впервые Закон «Об электронно-цифровой подписи» был принят в России в 2003 г. К документу было множество нареканий, и в 2011 г. его заменили новым Законом – «Об электронной подписи».

В законе упоминается электронная подпись трех видов: простая, усиленная и квалифицированная. Усиленная электронная подпись выдается удостоверяющим центром, квалифицированная – удостоверяющим центром, прошедшим аккредитацию в Минкомсвязи. Квалифицированная электронная подпись признается аналогом собственноручной. В числе прочего она необходима для участия в госзакупках.

Изначально закон требовал, что для аккредитованных удостоверяющих центров минимальный размер чистых активов должен составлять 1 млн руб., а минимальный размер финансового обеспечения для покрытия возможных убытков третьим лицам 1,5 млн руб.

podp600.jpg
Власти хотят монополизировать электронную подпись и ввести уголовную ответственность за нарушения в ее выдаче

В 2015 г. по инициативе Минкомсвязи законодатели увеличили минимальный размер чистый активов до 7 млн руб., а минимальный размер финансового обеспечения – до 30 млн руб. Но власти хотели и дальше ужесточать требования к удостоверяющим центрам. Так, в 2017 г. Минкомсвязи разработало законопроект о монополизации выдачи квалифицированных электронных подписей государством, однако данный документ был раскритикован отраслью и не получил дальнейшего развития.

Новые, жесткие требования для удостоверяющих центров электронной подписи

В нынешних законопроектах речь идет о дальнейшем ужесточении требований к аккредитованным удостоверяющим центрам. Согласно обоим документам, минимальный размер чистых активов предлагается увеличить до 1 млрд руб., либо, если у удостоверяющего центра есть филиалы в как минимум двух третях российских регионов, до 500 млн руб.

Минимальный размер финансовой гарантии предлагается увеличить до 200 млн руб. Если число мест осуществления лицензируемого вида деятельности превышает 10, то за каждое такое место необходима дополнительная финансовая гарантия в размере 500 тыс. руб., но не более 300 млн руб. в совокупности.

Уголовная ответственность для сотрудников удостоверяющих центров и деловая репутация их руководителей

Срок аккредитации удостоверяющих центров сокращается с пяти до трех лет. За нарушения в работе удостоверяющих центров технического характера вводится административная ответственность.

За заведомо умышленные действия сотрудников удостоверяющих центров помимо административной, вводится еще и уголовная ответственность.

Также вводятся требования к деловой репутации руководителей удостоверяющих центров и лиц, владеющих в них не менее чем 10% капитала. Если аккредитация удостоверяющего центра была отозвана, то центр сможет обратиться за новой аккредитацией не ранее чем через три года. Кроме того, аккредитованные удостоверяющие центры должны владеть лицензиями на разработку шифровальных средств и обладать правами собственности на аппаратные средства электронной подписи.

Монополизация электронных подписей юридических лиц со стороны ФНС, Центробанка и Федерального казначейства

Другое важное требование состоит в использовании юридическими лицами электронных подписей, причем здесь подходы обоих документов расходятся. Законопроект Кравченко, Глебовой и Пономарева предполагает обязать использовать только квалифицированные электронные подписи, выданные удостоверяющим центром Федеральной налоговой службы (ФНС). Дополнительно при заключении сделок будут применяться квалифицированные электронные подписи физических лиц, уполномоченных действовать от лица соответствующих юридических лиц.

В случаях с кредитными организациями, некредитными финансовыми организациями и платежными системами будут применять квалифицированные электронные подписи, выданные удостоверяющими центрами Центробанка. В случаях с органами государственной власти и местного самоуправления, а также их должностными лицами будут применяться квалифицированные электронные подписи, выданные удостоверяющими центрами Федерального казначейства.

Законопроект Боковой более либерален. Он позволит юридическим лицами продолжить использовать квалифицированные электронные подписи от любых аккредитованных удостоверяющих центров. ФНС сможет отзывать сертификаты электронных подписей юридических лиц и индивидуальных предпринимателей.

Аналогичным образом, Центробанк сможет отзывать сертификаты электронных подписей кредитных организаций, некредитных финансовых организаций и платежных систем. Как и в другом законопроекте, законопроект Боковой также требует от органов госвласти и их должностных лиц получать квалифицированные электронные подписи только в удостоверяющем центре Федерального казначейства.

Переходные положения длиной в два года

В случае принятия обоих законопроектов они вступят в силу в течение 120 дней с момента их подписания. Сертификаты квалифицированных электронных подписей и аккредитации удостоверяющих центров, выданные до опубликования данного закона, будут действительны до конца срока их действия, но не более двух лет.

Норма законопроекта Кравченко, Глебовой и Пономарева об использовании юридическими лицами квалифицированных электронных подписей, выданных удостоверяющим центром ФНС и Центробанком, вступит в силу через два года после опубликования соответствующих законов. Норма законопроекта Боковой о возможности ФНС и Центробанка отзывать сертификаты квалифицированных электронных подписей также вступит в силу через два года после опубликования закона.

Сбербанк недоволен будущей монополией ФНС

Как пояснил Максим Орешкин, если за бумажные паспорта отвечает МВД, то за электронную подпись – удостоверяющие центры. «Без полного доверия к этим центрам невозможно двигаться дальше, - говорит Орешкин. - Законопроект закладывает инфраструктурную основу для развития цифровой экономики».

Также выступавшая в Госдуме вице-президент Сбербанка Анна Попова поддержала идею усиления требований к удостоверяющим центрам электронной подписи, добавив, что предлагаемый переходный период в два года надо сократить. В то же время Попова настороженно относится к идее о государственной монополии на электронную подпись для юридических лиц.

«Понятно, что есть желание ввести госмонополию там, где не удалось наладить эффективного контроля за многочисленными рыночными участниками, - говорит вице-президент Сбербанка. - Но, с другой стороны, госмонополия рождает риски, связанные с замедлением развития технологий при отсутствии конкуренции, с увеличением издержек, с необоснованным госвмешательством».

Заместитель руководителя направления удостоверяющего центра «СКБ Контур» Сергей Казаков поддерживает идею об установлении более жестких требований к удостоверяющим центрам. По его оценкам, после таких нововведений число аккредитованных удостоверяющих центров сократится до 15-20, и регулятору будет проще их регулировать.

Какое коммуникационное решение для бизнеса выбрать — On-Premise или SaaS
Цифровизация

А вот идея о монополизации ФНС выдачи электронных подписей юридическим лицам вызывает, наоборот, отрицательную реакцию. «Передача прав по выпуску электронной подписи в одни руки приведет к тому, что на рынке не будет конкуренции и снизится отказоустойчивость системы выдачи электронных подписей, - говорит Казаков. Кроме того, это потребует больших финансовых вливаний из бюджета для создания дублирующей инфраструктуры, которая, по сути, уже готова и используется».

Главный аналитик Российской ассоциации электронных коммуникаций (РАЭК) Карен Казарян напоминает, что выдача электронных подписей юридическим лицам является основным бизнесом удостоверяющих центров. «Принятие проекта означает серьезные убытки для существующих коммерческих удостоверяющих центров, при этом огромному числу предпринимателей придется перевыпускать квалифицированные электронные подписи заново, и не факт что единственная централизованная система справится с этим как следует, - опасается Казарян. - Еще более странным этот запрет выглядит с требованием использовать личную подпись руководителя - то есть документ будет заверяться квалифицированными электронными подписями, выданными в разных удостоверяющих центрах».

Руководитель юридической службы компании IDX Михаил Тевс считает, что сокращение числа удостоверяющих центров либо введение госмонополии в данной сфере не решит имеющиеся проблемы, а только приведет к сокращению конкуренции. «Основная часть правонарушений с использованием электронной подписи связана с цифровой безграмотностью их обладателей, - объясняет Тевс. - Зачастую у руководителей компании бывает целая «связка» ключей электронной подписи, которые он доверяет бухгалтеру, плановому отделу. Кроме того, на рынке много посредников, которые предлагают за человека зарегистрировать индивидуального предпринимателя или зарегистрировать кассу, при этом частные лица отдают им свои электронные подписи».

Облачная электронная подпись и доверенная третья сторона

В то же время есть и некоторые послабления. Удостоверяющие центры смогут привлекать третьих лиц для приема заявлений на выдачу сертификатов электронных подписей и вручению данных сертификатов.

Кроме того, удостоверяющие центры смогут хранить ключи проверки электронных подписей, и по поручению их владельцев, создавать с их помощью электронные подписи. Как пояснил Орешкин, речь идет о возможности использования облачной электронной подписи.

Законопроект вводит понятие доверенной третей стороны. Она будет проверять подлинность электронной подписи в электронных документах в конкретный момент и проверять подлинность электронных подписей, выданных зарубежом. Доверенные третьи лица должны будут проходить аккредитацию в Минкомсвязи. Ожидается, что в России появится около 20 таких лиц.

Василий Огнев, МТС RED: В области многофакторной аутентификации заказчики переходят на облачные решения
Безопасность

В связи с этим вводится еще одно понятие – метка доверенного времени. Это достоверная информация в электронной форме о дате и времени подписания электронного документа электронной подписью, создаваемая и проверяемая доверенной третьей стороной, удостоверяющим центров либо операторов информационной системе.

Удостоверяющие центры должны будут выдавать сертификаты электронных подписей по цене, не превышающей установленное Правительством значение. Лицам, получившим сертификаты, безвозмездно должна быть предоставлена возможность зарегистрироваться в Единой системе идентификации и аутентификации. Кроме того, физическим лицам должны быть безвозмездно предоставлены технические средства для шифрования биометрических подписей.

Решение проблемы разных электронных подписей для разных информационных систем

Авторы законопроектов утверждают, что предложенные ими документы решат еще одну проблему. Сейчас госведомства требуют наличия в сертификатах квалифицированных электронных подписей наличия тех или иных полномочий, закрепляемых за пользователем в рамках конкретной информационной системы.

В результате сейчас сертификаты, выданные аккредитованными удостоверяющими центрами, не могут быть использованы в некоторых информационных системах, и удостоверяющие центры вынуждены предлагать квалифицированные электронные подписи для работы в конкретных информационных системах.

Игорь Королев