В самом конце прошлого года подписан федеральный закон от 27.12.2019 №476-ФЗ "О внесении изменений в Федеральный закон "Об электронной подписи" и статью 1 Федерального закона "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля". Визуализированные изменения можно посмотреть https://vk.com/doc509912_531130106 - красным цветом выделен исключённый текст, зелёным - добавленный.
В статье 2 введены новые дефиниции, в том числе «доверенная третья сторона», «заявитель» и «метка доверенного времени». Появилось странное дополнение дефиниции «квалифицированный сертификат» — он теперь будет считаться «официальным документом».
Доверенная третья сторона (ДТС) — это, пожалуй, наиболее важное изменение в новой редакции. Дело в том, что обычно участники электронного взаимодействия ограничиваются только проверкой принадлежности электронных подписей владельцам сертификатов, отсутствия изменений, внесенных в документ после его подписания и дат начала и окончания срока действия сертификата. Но выполнение такой проверки — это лишь малая часть свойств, обеспечивающих юридическую значимость электронного документа. Помимо неё необходимо также удостовериться, что сертификаты используемых подписей
- не аннулированы и не прекратили действие на определенный момент времени;
- созданы и выданы аккредитованными удостоверяющими центрами (УЦ), аккредитация которых действительна на день выдачи сертификатов;
- соответствуют требованиям не только данного закона, но и иных принятых в соответствии с ним нормативных правовых актов;
- владельцы сертификатов обладают необходимыми полномочиями.
Всё это требует высокой квалификации как юридической, так и в области информационных технологий. Новая редакция закона регламентирует полную и всестороннюю процедуру проверки электронной подписи как услугу и призвана обеспечить юридическую защиту получателя такой услуги.
Согласно пояснительной записке к законопроекту, прогнозируемое количество ДТС — 20, что на мой взгляд вполне достаточно для создания конкурентной среды в этой области.
Теперь о других изменениях в законе.
ЦБ РФ наделён правом собственными нормативными актами устанавливать случаи признания электронных документов, подписанных простой или неквалифицированной электронной подписью, равнозначными документу на бумажном носителе, подписанному собственноручной подписью. Вполне логичное изменение, поскольку усиленные неквалифицированные электронные подписи чаще всего применяются в финансовом секторе.
Уточнен порядок признания иностранных электронных подписей — для этого теперь необходим действующий международный договор, а подтверждение соответствия электронной подписи требованиям международных договоров может производиться ДТС, УЦ или лицом, уполномоченным на это международным договором.
Уполномоченный федеральный орган исполнительной власти в сфере использования электронной подписи теперь также будет осуществлять аккредитацию доверенных третьих сторон и исполнять соответствующие этому обязанности: хранить информацию о ДТС, устанавливать правила аккредитации и порядок проверки соблюдения ими требований законодательства.
Новая редакция закона теперь строго регламентирует случай, когда ключ электронной подписи хранится в УЦ, а не у владельца сертификата — в остальных случаях продолжает действовать рамочная норма, обязывающая «обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия». В связи с этим уполномоченными федеральными органами должны быть установлены:
- требования к порядку действий УЦ при возникновении обоснованных сомнений относительно лица, давшего поручение на использование хранимых ключей электронной подписи, а также при приостановлении (прекращении) технической возможности использования хранимых ключей электронной подписи;
- требования к форме поручения владельца сертификата на создание электронной подписи, порядку его передачи и правилам хранения этих поручений в УЦ, аутентификации владельцев, защите передаваемой по каналам связи информации и доказательству невозможности отказа владельца сертификата от поручения на создание электронной подписи;
- перечень угроз безопасности, актуальных при идентификации заявителя в УЦ и выдаче сертификата без его личного присутствия, а также хранения и использования ключа электронной подписи в УЦ.
Исключены ограничения на использование электронной подписи, устанавливаемые объектными идентификаторами полномочий в рамках конкретной информационной системы. Теперь не придётся, например, получать отдельный сертификат для участия в госзакупках и отдельный — для подписи договоров в электронной форме, для обеих задач можно использовать один и тот же сертификат.
Средства электронной подписи теперь должны будут визуализировать электронную подпись и отображать сведения о номере, владельце и периоде действия сертификата ключа проверки электронной подписи.
Изменен порядок выдачи квалифицированных сертификатов заявителям. УЦ теперь обязан проводить только идентификацию заявителя — право устанавливать полномочия лица, выступающего от имени заявителя исключено. Идентификация заявителя производится при его личном присутствии либо без его личного присутствия с использованием
- действующей квалифицированной электронной подписи;
- информации, указанной в документе, удостоверяющем личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащем электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные — по всей видимости речь идёт о биометрическом загранпаспорте;
- сведений из единой системы идентификации и аутентификации и информации из единой биометрической системы.
при этом идентификация без личного присутствия допускается только удостоверяющим центром с обязательным использованием криптографических средств, а доверенные лица могут выдавать сертификат только при личном присутствии владельца сертификата. Кроме того, сертификат теперь должен содержать идентификатор, однозначно указывающий на способ идентификации заявителя — при личном присутствии владельца либо без личного присутствия одним из указанных выше способов.
Владельцем сертификата юридического лица теперь может быть только физическое лицо, действующее от имени юридического без доверенности — учредительные документы юридического лица больше не являются основанием для указания владельца сертификата.
Уточнен перечень случаев, когда физическое лицо не указывается в качестве владельца сертификата юридического лица, используемого для автоматического создания и (или) проверки электронной подписи в информационной системе. При этом распорядительным актом юридического лица помимо ответственного за автоматическое создание/проверку подписи должен быть определен и ответственный за содержание подписываемой этим сертификатом информации.