03.02.2020

Электронная подпись по-новому. Чего ждать от поправок ФЗ № 63

Интернет-журнал Ecm-journal.ru, февраль, 2020
<p>Экспертный комментарий Алексея Сабанова, к.т.н., заместителя генерального директора компании "Аладдин Р.Д."</p>

В декабре Президент РФ подписал закон, который должен изменить многое на рынке электронного документооборота. Во всяком случае в этом уверены эксперты. Чего они опасаются и чему рады, рассказываем далее.

Спасибо, что другой

Федеральный закон № 476, который вносит поправки в ФЗ "Об электронной подписи", мы уже обсуждали в ноябре. Тогда речь шла о проекте документа – его впервые вынесли на рассмотрение в Госдуму. Поправки вызвали много вопросов. Причём как у независимых юристов, так и представителей бизнеса.

Позже законопроект не пришёлся по душе Кремлю – после первого чтения с критикой на него обрушилось Государственно-правовое управление Президента РФ. Отрицательный отзыв поступил 7 декабря. Многие облегчённо выдохнули – появился шанс, что законопроект станут детально и тщательно дорабатывать, а поспешных изменений, которые казались выгодными только государству, не будет.

Однако всё пошло не так. Никто не ожидал, что скорость законодателей будет молниеносной – проект ФЗ № 476 не только исправили, но и отправили на второе и третье чтения, а затем в Совет Федерации. Всё закончилось под Новый год, когда многие уже не обращали внимание на новости, – 27 декабря 2019 года изменения закона "Об электронной подписи" подписал Президент РФ.

Версия 2.0. Кто выиграл?

Чем отличается окончательный документ от того, что рассматривали в ноябре 2019-го? Законодатели "очистили карму" перед Кремлем. Они убрали положения, согласно которым в России могли бы ввести явную монополию на выдачу электронной подписи (ЭП).

Напомним, прежняя версия жёстко ограничивала круг организаций, которые могут предоставлять такие услуги населению и бизнесу. К их числу относились ФНС, Центробанк и Казначейство РФ. А коммерческие удостоверяющие центры (УЦ), которые есть сейчас, могли уйти в прошлое.

Подписанный закон оказался "мягче" – монополии не случилось. Хотя передела на рынке всё-таки не избежать, уверены эксперты. Основная причина – государство ужесточило требования к УЦ в целом.

При этом увеличился размер финансового обеспечения ответственности за убытки, причиненные третьим лицам, – с 30 до 100 млн, со 100 млн до 200 млн рублей. А срок аккредитации УЦ уменьшился до 3 лет.

"Стоит отметить, что удостоверяющие центры ФНС России, Федерального казначейства и Центробанка "по умолчанию" будут являться аккредитованными УЦ. И даже если по результатам проверок будут выявлены несоответствия, в отношении них не могут быть осуществлены приостановка или прекращение аккредитации, – уточняет Алексей Сабанов, заместитель генерального директора компании "Аладдин Р.Д.". – Особенно выделено право УЦ ФНС России наделять доверенных лиц полномочиями на выдачу квалифицированных сертификатов собственного имени. При первом приближении такая организация напоминает систему доверенных удостоверяющих центров ФНС России, которая практиковалась в недавнем прошлом".

Таким образом государство может легко избавиться от небольших удостоверяющих центров. И пусть не монополия, но её "мягкая" версия всё-таки прослеживается в законе.

Но это ещё не все преимущества изменений для государства. "В первую очередь оно (в лице ФНС и Центробанка) получает потенциальный рычаг "мгновенного отключения" для бизнесов, – поясняет Елисей Иодковский, главный специалист отдела информационной безопасности компании ЭОС. – Поскольку теперь можно будет получить квалифицированный сертификат "на юрлицо" только на владельцев бизнеса и только в государственных УЦ, а все остальные электронные подписи организации будут иерархичны и зависимы через электронные доверенности от этого "главного сертификата", то его блокировка по любым причинам означает мгновенную невозможность легитимно использовать ЭП всем, имеющим право подписи в иерархии организации".

Эксперты добавляют, что закон также выгоден криптографам – производителям сертифицированного ПО. Уже скоро потребуются новые версии решений, умеющие обрабатывать утвержденную логику работы "ЭП+доверенность(и)" и учитывающие другие новые сущности, появившиеся в законе. В числе последних: "облачная" ЭП, ДТС (доверенная третья сторона), метка доверенного времени.

О новинках по порядку

"Значимая норма, существенно влияющая на рынок ЭП, – легализация "облачной подписи", или возможность удостоверяющим центрам хранить ключи подписи пользователей и создавать ЭП по поручению владельца сертификата", – отмечает Алексей Сабанов, заместитель генерального директора компании "Аладдин Р.Д.".

При такой схеме, по словам эксперта, остро встают вопросы идентификации и аутентификации владельцев подписей. Их необходимо отразить в регламентах и зафиксировать в требованиях к средствам УЦ. Причём тиражирование систем, использующих "облачную подпись", в скором будущем вынудит разработчиков и государство организовать роуминг между ними. Иначе формирование ЭП пользователями в разных системах будет бессмысленным и станет огромной проблемой.

"Введение облачной ЭП в закон как сущности и передача роли "провайдеров облачной ЭП" аккредитованным УЦ приведут к тому, что бизнес будет строиться не на выдаче сертификата, а на каждом подписании документа, – добавляет Елисей Иодковский. – Ещё одно последствие этого нововведения связано с терминологией: используется термин "хранимые ключи ЭП" (облако не упоминается). Конечные пользователи почувствуют это изменение на себе, ведь главное удобство облачной ЭП – не нужно иметь "инфраструктуру ЭП" (криптография, токен) на каждом рабочем месте. Вместо этого достаточно телефона с доступом в интернет".

Какие важные изменения ещё вводит новый закон?

Во-первых, появится ДТС – доверенная третья сторона. Её роль – проверка ЭП для "обеспечения доверия". Это юрлицо, то есть частный бизнес, который предоставляет услуги OCSP (онлайн-проверки валидности сертификатов) и TSP (метки доверенного времени, которые тоже ввели в закон).

"Сейчас у удостоверяющего центра есть "средства УЦ". Так и у ДТС будут свои "средства ДТС", то есть специальное сертифицированное программное обеспечение, – уточняют эксперты. – Возможно, это приведёт к тому, что ДТСы отделятся от УЦ, а возможно, и от операторов ЭДО. Фактически потребность в таких компаниях может означать появление нового бизнеса". Аккредитация ДТС будет строиться по общей модели – "как для УЦ".

Во-вторых, иностранные ЭП будут полностью признаваться российской стороной после её проверки аккредитованной ДТС – этого давно ждали многие российские компании-экспортеры.

В-третьих, законом закрепляется универсализация КЭП. "Вводится прямой запрет делить электронные подписи на "наши" и "не наши". Все торговые площадки, участники обмена и другие организации должны принимать все КЭП от всех аккредитованных УЦ, вне зависимости от прописанных OID (убивается предыдущая схема монетизации – "ЭП для площадок, ЭП для казны, ЭП для…")", – поясняет представитель ЭОС.

В-четвертых, не введено двойное подписание документов от юрлица, которое обсуждалось в предыдущих версиях закона. "Однако появилась доверенность для физических лиц, которые действуют от имени компании, – рассказывает Татьяна Жигалова. – Доверенность потребуется, когда электронный документ подписывает физическое лицо, не являющееся единоличным исполнительным органом в организации".

Электронная подпись теперь невыгодна?

Когда закон только начали рассматривать в Госдуме, российские пользователи заговорили о возможном росте цен на ЭП. Некоторые компании стали сообщать прямо, что из-за этого готовы отказаться от электронного документооборота совсем.

Дальше громких заявлений дело не пошло и не пойдёт. Российский бизнес уже не сможет отказаться от ЭДО, уверены эксперты. Во-первых, компании уже давно представляют отчетность в ФНС в электронном виде. Во-вторых, бумажный документооборот по-прежнему приносит больше хлопот, нежели ЭДО.

"Полагаю, будет как обычно – сначала придется сколько-то заплатить за возможность работать "по-новому", а дальше цены стабилизируются примерно на том же уровне, что и сегодня, – комментирует Елисей Иодковский. – В то же время переход на сервисную модель ЭП (облачная ЭП) предполагает меньшие или вовсе нулевые начальные инвестиции, а оплату – совсем небольшую – только за каждый факт подписи. Так что в этом отношении можно говорить о снижении затрат на использование ЭП, что выгодно для бизнеса".

Что дальше

Большинство изменений ФЗ "Об электронной подписи" вступают в силу уже 1 июля 2020 года. Принятый закон № 476 обязывает государство максимально быстро разработать новые положения Правительства РФ, приказы ФНС и т.д., а также скорректировать множество действующих нормативных правовых актов, регламентирующих применение ЭП в России.

"Справятся ли в Кремле с этой задачей за полгода – уже другая история", – резюмируют эксперты.