Оглавление
Основные положения
В статье 4 настоящего законопроекта определяются основные принципы использования электронно-цифровой подписи. Они действуют постоянно, за исключением случаев, прописанных отдельно в ФЗ или в соглашении сторон ЭДО. Если подпись сформирована в соответствии с законом иностранного государства и нормой международного стандарта, а также отвечает требованиям закона 63-ФЗ, то такая электронная подпись признается в России.
Виды ЭЦП
Законом выделяются 3 вида электронной подписи:
- Простая — это пара логина и пароля или код, присланный в виде СМС, для входа в личный кабинет на сайте и подтверждения действий.
- Неквалифицированная — обладает большим рядом возможностей, а получают ее путем криптографических преобразований данных. НЭП позволяет обнаружить изменения, внесенные в документ после заверения.
- Квалифицированная ЭП — более сложный и юридически полноценный вид заверения ЭД.
КЭП должна отвечать требованиям к предыдущему типу ЭП, а также:
- Иметь дополнительно ключ проверки ЭП, указанный в сертификате;
- Проверяться и создаваться при помощи сертифицированных программных средств.
Электронный документ с простой или неквалифицированной цифровой подписью имеет тождественную ручной подписи силу, если это установлено дополнительным соглашением между сторонниками ЭДО. Нормативные акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания документов в ЭФ, заверенные НЭП, равносильны бумажным документам с личной подписью. Полная юридическая сила простой подписи возможна, только если документы составлены и подписаны в соответствии с требованиями статьи 3 ФЗ-63. Подписание документов КЭП не нуждается в подтверждении сторонними актами.
Роль удостоверяющего центра
Уполномоченный федеральный орган (УФО) создается с целью:
- Аккредитации УЦ;
- Контроля за соблюдением норм, установленных федеральным законодательством и правовыми актами;
- Выдачи предписаний об устранении недостатков в работе;
- Осуществления полномочий вышестоящего УЦ по отношению к аккредитованным удостоверяющим центрам.
УФО хранит информацию обо всех аккредитованных центрах: действующих и прекративших работу, а также приостановивших деятельность в связи с отозванной аккредитацией.
Деятельность УЦ
Работа удостоверяющего центра связана с:
- Созданием и выдачей сертификатов ключей проверки ЭП и контролем за их использованием;
- Выдачей средств ЭП и ключа ЭП, ключа ее проверки или средств, для обеспечения создания ключей;
- Ведением реестра выданных сертификатов ключей проверки ЭП и установлением порядка его ведения.
Уполномоченный федеральный орган (УФО) — портал
Информация, содержащаяся в реестре сертификатов, должна быть актуальной и защищенной от доступа третьих лиц. Удостоверяющий центр, осуществляющий выдачу сертификатов, обязан:
- В письменной форме доводить до сведения клиентов информацию о правилах пользования ЭП и средств ЭП, рисках и необходимых мерах защиты;
- Предоставлять доступ к реестру сертификатов;
- Обеспечивать сохранность ключей ЭП.
В квалифицированном сертификате, выданном клиенту, УЦ должен указать:
- Номер сертификата, срок его выдачи и дату окончания действия;
- СНИЛС;
- Ключ проверки ЭП;
- Наименование и адрес УЦ;
- ФИО владельца сертификата или номер ЕГРЮЛ организации.
Каждый участник электронного взаимодействия имеет право применять любые технологии и технику, при помощи которой можно использовать ЭП и которая не противоречит ФЗ.
Новые требования к УЦ
Поправки в Закон об ЭП установили более высокие требования для аккредитации удостоверяющих центров.
Например, повысили размер капитала аккредитованных УЦ – не менее 1 млрд рублей (500 млн рублей, если есть обширная сеть филиалов7) вместо 7 млн рублей. Дословно в Законе об ЭП теперь будет сказано так (п. 1 ч. 3 ст. 16): «минимальный размер собственных средств (капитала) составляет не менее чем один миллиард рублей либо пятьсот миллионов рублей при наличии не менее чем в трех четвертях субъектов Российской Федерации одного или более филиала или представительства удостоверяющего центра».
Увеличили и размер страхового покрытия (пункт 2 ч. 3 ст. 16 Закона об ЭП).
Усложняется процедура аккредитации УЦ. Специально созданный коллегиальный орган будет рассматривать документы УЦ, оценивать его добросовестность и принимать решение об аккредитации. Срок действия аккредитации сократится до 3 лет.
Справочно
По мнению авторов законопроекта, новые требования позволят не допустить на рынок недобросовестных участников, а получившие аккредитацию УЦ будут более ответственно работать. В то же время, по оценке экспертов, новым требованиям смогут соответствовать не более 20 из 500 аккредитованных сейчас УЦ.
Повышенные требования для аккредитации вступят в силу уже 1 июля 2020 года. После этого удостоверяющие центры могут направлять заявления на аккредитацию и необходимые документы.
Аккредитация удостоверяющих центров, которые не будут соответствовать новым требованиям, закончится 1 января 2022 года. Тогда же станут недействительными все электронные подписи, которые эти УЦ выдадут до 1 июля 2020 года. Что произойдет с подписями, которые такие УЦ выпустят после 1 июля 2020 года, станет ясно позже – когда утвердят необходимые нормативные правовые акты.
Последние поправки в закон 63-ФЗ об электронной подписи
Статьи законопроекта постоянно дорабатываются в связи с расширением возможностей использования ЭП и развитием информационных и компьютерных технологий. Самые последние поправки были внесены 27 декабря 2019 года Федеральным законом №476-ФЗ.
Эти нововведения были направлены на совершенствование регулирования в сфере электронной подписи (ЭП) и ужесточение требований к УЦ. Ознакомиться с документом вы можете на официальном портале (ссылка на документ).
Закон устанавливает требования к порядку аккредитации и деятельности удостоверяющих центров. Например, максимальный срок, на который осуществляется аккредитация, сократился с 3 до 5 лет.
Также поправки обязали УЦ иметь минимальный капитал в размере не менее 1 млрд рублей либо 500 млн при наличии не менее чем в 75% регионов одного или более филиала. При этом минимальный размер финансового обеспечения ответственности УЦ за убытки, причиненные 3-м лицам, увеличивается с 30 до 100 млн рублей, максимальный – со 100 до 200 млн. Для осуществления хранения ключа ЭП он составит 200 и 300 миллионов, соответственно.
Кроме того, между УЦ перераспределяются полномочия по выдаче квалифицированных сертификатов.
Кредитные и финансовые организации будут получать их в удостоверяющем центре Банка России, иные юрлица и индивидуальные предприниматели – в центре Федеральной налоговой службы, госслужащие – в центре Федерального казначейства, а граждане, которые не являются должностными лицами, – в коммерческих удостоверяющих центрах.
Какие еще изменения были внесены в 63-ФЗ об ЭЦП
Во-первых, появится ДТС – доверенная третья сторона. Её роль – проверка ЭП для «обеспечения доверия». В его роли будет выступать юридическое лицо, которое предоставляет услуги онлайн-проверки валидности сертификатов и TSP (меток доверенного времени).
Сегодня у удостоверяющего центра есть «средства УЦ». У ДТС также будут свои «средства», то есть специальное сертифицированное программное обеспечение. При аккредитации ДТС будет применяться та же модель, что и для Удостоверяющих центров.
Во-вторых, иностранные ЭП будут полностью признаваться российской стороной после её проверки аккредитованной ДТС – этого давно ждали многие российские компании-экспортеры.
В-третьих, законом закрепляется универсализация КЭП. Был введен запрет разделять подписи на «наши» и «не наши». Все торговые площадки, участники обмена и другие организации должны принимать все квалифицированные подписи от всех аккредитованных УЦ.
Статья 6. Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью
1. Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и может применяться в любых правоотношениях в соответствии с законодательством Российской Федерации, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.
2. Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами, нормативными актами Центрального банка Российской Федерации (далее — нормативные правовые акты) или соглашением между участниками электронного взаимодействия, в том числе правилами платежных систем (далее — соглашения между участниками электронного взаимодействия). Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных неквалифицированной электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать порядок проверки электронной подписи. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны соответствовать требованиям статьи 9 настоящего Федерального закона.
3. Если в соответствии с федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или обычаем делового оборота документ должен быть заверен печатью, электронный документ, подписанный усиленной электронной подписью и признаваемый равнозначным документу на бумажном носителе, подписанному собственноручной подписью, признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью и заверенному печатью. Федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия могут быть предусмотрены дополнительные требования к электронному документу в целях признания его равнозначным документу на бумажном носителе, заверенному печатью.
3.1. Если федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами предусмотрено, что документ должен подписываться несколькими лицами, электронный документ должен быть подписан лицами (уполномоченными должностными лицами органа, организации), изготовившими этот документ, тем видом подписи, который установлен законодательством Российской Федерации для подписания изготовленного электронного документа электронной подписью.
4. Одной электронной подписью могут быть подписаны несколько связанных между собой электронных документов (пакет электронных документов). При подписании электронной подписью пакета электронных документов каждый из электронных документов, входящих в этот пакет, считается подписанным электронной подписью того вида, которой подписан пакет электронных документов. Исключение составляют случаи, когда в состав пакета электронных документов лицом, подписавшим пакет, включены электронные документы, созданные иными лицами (органами, организациями) и подписанные ими тем видом электронной подписи, который установлен законодательством Российской Федерации для подписания таких документов. В этих случаях электронный документ, входящий в пакет, считается подписанным лицом, первоначально создавшим такой электронный документ, тем видом электронной подписи, которым этот документ был подписан при создании, вне зависимости от того, каким видом электронной подписи подписан пакет электронных документов.
Формирование новой схемы представления полномочий
Данное изменение станет самым серьёзным и сильнее остальных отразится на различных бизнес-процессах компаний.
Напомним о том, что ранее, когда организация получала сертификат электронной подписи на представителя организации, являющееся уполномоченным лицом, — удостоверяющий центр осуществлял выдачу сертификата, содержащего сведения об организации и о владельце сертификата.
Всё это приводило к возникновению двух основных проблем. Особенно остро они ощущались владельцами крупных компаний, в которых практиковалось использование большого количества сертификатов уполномоченных лиц.
1. В случае, когда в группе компаний одно уполномоченное лицо обладает полномочиями на представление нескольких компаний, то ему необходимо получить в УЦ число сертификатов, соответствующих числу представляемых им компаний.
2. Отдельные участники электронного взаимодействия были уверены, что сертификат ЭП, содержащий в себе заведомо достоверные сведения как о юридическом, так и о физическом лице, представляющем организацию, является залогом того, что УЦ, при выдаче такового сертификата, в обязательном порядке осуществляет проверку полномочий сотрудника выступать от имени этого юридического лица, а также в том, что таковые полномочия в силе.
В реальности действительно существует обязанность УЦ по осуществлению проверки полномочий, но только суть таковых полномочий не всегда ясна. Сертификат не делегирует конкретные обязанности на конкретного сотрудника, равно как нельзя с помощью сертификата определить законность и пролонгацию полномочий того или иного сотрудника фирмы.
Как это повлияет на бизнес
Начиная с 1 января 2022 года уполномоченные лица организации в документообороте должны начать применять сертификаты физических лиц, при этом привязка того или иного физлица к тому или иному юрлицу будет происходить посредством электронной доверенности.
Таким образом, у бизнеса появится возможность получить сертификат юрлица, не содержащий сведения о физлице и руководителе, его представляющем. Это нужно для того, чтобы установить такой сертификат в информационной системе, которая будет автоматически подписывать направляемые в нее документы.
Напомним, до 1 января 2022 года действуют два сценария:
- Вы работаете как раньше.
- Вы начинаете действовать по новым правилам: обращаетесь за получением сертификата на директора компании в УЦ ФНС, а на физлицо — в переаккредитованный по новым требованиям коммерческий УЦ.
У вас есть право самостоятельно выбрать сценарий до конца текущего года. Обязательство для всех организаций действовать по новым правилам вступает в силу с 1 января 2022 года.
Как работает усиленная электронная подпись
Наиболее известным предназначением криптографии является обеспечение конфиденциальности и шифрование. Рассмотрим, как это работает на примере.
Отправитель хочет передать получателю сообщение. Оно содержит информацию, получение доступа к которой посторонними может нанести вред законным интересам обеих сторон. При встрече отправитель и получатель согласовывают алгоритм для шифрования, и ключ, с помощью которого они будут зашифровывать и расшифровывать сообщения.
При дальнейшем взаимодействии обе стороны действуют следующим образом. Отправитель подает на вход алгоритма шифрования сообщение и ключ. Алгоритм проводит зашифрованную информацию, которая передается через незащищенный канал.
Злоумышленник, не обладающий ключом, не сможет понять содержание сообщения, даже если знает используемый алгоритм. Получать подает на вход такого алгоритма ключ и получает исходное сообщение.
Современные криптографические алгоритмы обеспечивают такой уровень защищенности, что на практике злоумышленник может получить несанкционированный доступ к информации только в зонах ответственности отправителя или получателя. Например, скомпрометировав ключ или получив доступ к сообщению до или после работы криптографического алгоритма.
Для получения ЭЦП нужен сам документ (с него делается «слепок» или хэш), ключ пользователя, и набор алгоритмов шифрования. Как правило, это отдельная программа — криптопровайдер. Он шифрует полученный хэш на ключе, который предоставил пользователь. На этом этапе и формируется сама электронная подпись.
Положения и понятия закона об ЭЦП
Основные формулировки, которые затрагивает закон:
- Понятие электронной подписи (было рассмотрено ранее) – это данные, заверяющие информацию на цифровых носителях (как правило, о ее владельце).
- Ключ ЭЦП – уникальный порядок символов для формирования подписи.
- Ключ проверки (КП) – единственная в своем роде последовательность знаков для определения подлинности ЭП (связана с ключом).
- Владелец КП – лицо, получившее его сертификат.
- Сертификат КП ЭЦП – документ на бумажном носителе, подтверждающий обладателя КП, выданный удостоверяющим центром. Квалифицированный полностью соответствует всем положениям данного закона.
- Удостоверяющий центр (УЦ) – орган государственной или муниципальной власти, а также ИП или юрлицо, уполномоченное выдавать обсуждаемые сертификаты.
- Аккредитация УЦ – установление его соответствия нормам законодательства (в том числе закону № 63).
- Средства ЭП – это оборудование, при помощи которого она создается и/или подтверждается.
- Средства УЦ – оборудование и программы для его функционирования.
- Участники взаимодействия (электронного) – лица, обменивающиеся цифровыми документами и информацией.
- Корпоративная информационная система – определенный круг взаимодействующих лиц. В систему общего пользования входят необозначенные лица, отказ которым в использовании системы запрещен.
- Вручение сертификата – передача ключа владельцу.
- Утверждение обладания ключом – доказательство того, что человек, обратившийся за сертификатом, имеет ключ ЭЦП.
Краткое описание базовых положений:
- Указаны требования к УЦ. Так, например, его активы должны быть больше 1 000 000 руб., сотрудники обязаны обладать определенной квалификацией.
- Минимальный период аккредитации – 5 лет.
- УЦ должны предоставлять данные физ- и юрлицам о хранении, защите ЭП, а также информацию о реестре сертификатов.
- Владелец имеет право использовать ЭЦП по своему усмотрению.
- Иностранные ЭП признаются легальными, если они соответствуют данному закону и международным нормам.
- Владелец подписи может применять любые технологии, которые не противоречат требованиям властей.
- Для проведения аккредитации удостоверяющих центров, хранении данных о них и их деятельности предусмотрен федеральный орган (УФО).
Сайт УФО
Дополнительные документы, которые законодательно регулируют постановку ЭП
Нормативная документация, влияющая на заверение файлов электронной цифровой подписью:
- Статья 160 ГК РФ. Определяет механизм и случаи применения ЭЦП при осуществлении сделок.
- Статья 434 ГК РФ. Вводит термин «электронный договор» как информации, для оборота, создания и хранения которой используются интернет, компьютеры, флеш-накопители и прочие подобные технологии.
- ФЗ от 20 июля 2017 г. № 149. Регламентирует сделки с использованием электронной цифровой подписи.
- ГОСТ Р 34.10-2012. Влияет на совершение сделок с применением ЭЦП.
- Закон от 5 апреля 2013 № 44. Разграничивает применение подписи на аукционах и госзакупках.
- Приказы ФСБ от 27 декабря 2011 № 795 и № 796. Задают требования к электронному ключу, его безопасности и функциям удостоверяющих центров.
- Постановление российского правительства от 25 января 2013 № 33 определяет область эксплуатации, основные понятия подписи и ключа, а также закладывает основы процесса его выдачи.
Дополнительные документы
Электронные подписи могут пригодится каждому человеку, занимающемуся электронным документооборотом. Эта область права регулируется законом № 63. Его нарушение может повлечь за собой штрафные санкции и лишение свободы (максимум на 5 лет).
https://youtube.com/watch?v=ZXr-fVrnNcI
Цель принятия 63-ФЗ
Цель принятия 63-ФЗ в том, чтобы узаконить и обезопасить применение электронной подписи при электронном документообороте. Любой документ обладает юридической силой, только если на нем стоит подпись и печать ответственного лица. То есть завизирован.
Если на бумажных документах можно поставить ручную подпись, то в отношении электронных это невозможно. Однако на таких документах также должен стоять электронный аналог визы предпринимателя (генерального директора, бухгалтера или иного ответственного лица). 63-ФЗ регулирует отношения между сторонами в части применения ЭП. То есть определяет, какая подпись и в каких случаях должна применяться, в каких случаях она не имеет юридической силы.
Документ действует в отношении (ст. 1):
- гражданско-правовых сделок;
- государственных и муниципальных услуг;
- государственных и муниципальных функций;
- иных юридически значимых действий.
Также визировать документы необходимо при проведении госзакупок, участии в торгах, удаленной сдаче отчетности и деклараций в налоговую, проведении банковских операций, документообороте с государственными и муниципальными учреждениями. Участниками таких отношений могут быть юридические лица и физические лица, индивидуальные предприниматели, а также с госучреждения.
Неподчинение и несоблюдение требований 63-ФЗ может повлечь приостановление деятельности УЦ, штрафы, обязательные или исправительные работы, лишение должности и даже лишение свободы на срок до 5 лет.
Ключевые положения
Закон о цифровой подписи включает 20 статей, раскрывающих следующие нормы:
- основные термины и определения;
- принципы и правила использования;
- виды, особенности использования;
- процедура выдачи сертификата в удостоверяющем центре;
- обязанности человека, который использует ЭП;
- деятельность и обязанности Удостоверяющих центров, которые имеют право на выпуск.
Итак, определение «электронная подпись» закон дает следующее: это информация в электронной форме, которая содержит уникальную последовательность символов (ключ) и присоединяется к цифровому документу, чтобы определить личность подписанта.
Функции по созданию и выдаче возложены на удостоверяющие центры, использующие в процессе своей деятельности специальные шифровальные, криптографические средства. Центры могут быть как государственными, так и иными юридическими лицами.
Виды электронной подписи согласно закону 63-ФЗ
Ранее, в Федеральном законе № 1-ФЗ «Об электронно-цифровой подписи», который регламентировал применение ЭП до принятия 63-ФЗ, речь шла только об одном виде — ЭЦП.
Сегодня, в связи с тем, что электронная подпись приобрела более широкое применение, в статье 5 Федерального закона №63-ФЗ говорится о 3-х основных видах видах:
- простой;
- усиленной неквалифицированной (НЭП);
- усиленной квалифицированной (КЭП).
Простая электронная подпись
Простая электронная подпись появилась, чтобы расширить круг участников электронного документооборота. Она может использоваться для работы с интернет-банком и подобными системами. Эта подпись слабо регулируется законодательством, то есть законом определяются общие правила ее применения, а остальные устанавливает та система, в которой вы работаете с документами.
Пример простой электронной подписи — коды из СМС, которыми вы подтверждаете те или иные действия (входите в личный кабинет, переводите деньги на карту, оплачиваете услуги и т.д.).
В момент, когда вы вводите в поле код, система формирует электронную подпись и, согласно договоренностям, идентифицирует вас и допускает к счетам (проводит платежную операцию, подключает услугу). В этом случае ЭП помогает идентифицировать лицо, подписывающее документ.
Усиленная электронная подпись
Этот вид подписи создается путем криптографического преобразования электронного документа. Она хранится на защищенном носителе и состоит криптопрограммы, закрытого и открытого ключа.
Криптопрограмма — это программное обеспечение, которое нужно для работы с электронной подписью.
Закрытый ключ — уникальная последовательность символов, которые известны только владельцу. Он предназначен для создания подписи в электронных документах.
Открытый ключ однозначно соответствует закрытому ключу и предназначен для подтверждения подлинности электронной подписи. Он выглядит как сертификат, то есть файл, содержащий сведения о пользователе.
Защищенная (усиленная) подпись, в свою очередь, может быть квалифицированной или неквалифицированной.
Усиленный неквалифицированный вариант — некий идентификатор, позволяющий контролировать документооборот организации и вносить изменения в случае возникновения такой необходимости. Используется для представления отчетности в государственные учреждения.
Квалифицированная подпись является самой надежной и современной. Вместе с подписью оформляется крипто-ключ и сертификат, подтверждающий подлинность подписи человека. Эту ЭП можно использовать только при наличии вышеуказанных атрибутов. В противном случае она не будет иметь юридического значения.
Усиленная квалифицированная подпись нужна для участия в торгах или аукционах в интернете, а также тендерах по госзакупкам. Выдать КЭП может только удостоверяющий центр, аккредитованный Минкомсвязи.