ЕЦП проти КЕП – трохи історії
З 07.11.2018 р. набрав чинності Закон України «Про електронні довірчі послуги» (далі – Закон №2155). Цим законом, зокрема, введені такі поняття як:
- електронна довірча послуга – послуга, яка надається для забезпечення електронної взаємодії двох або більше суб'єктів, які довіряють надавачу електронних довірчих послуг щодо надання такої послуги. Йдеться про послугу посередника, який, не втручаючись у відносини двох або більше суб'єктів, автоматизує за допомогою електронної ідентифікації обмін документами та їх підписання в електронному вигляді в режимі онлайн. Для цього такі суб'єкти мають електронний підпис та електронну печатку, засвідчені сертифікатом відкритого ключа;
- схема електронної ідентифікації – вона повинна встановлювати високий, середній або низький рівні довіри до засобів електронної ідентифікації, що використовуються в них.
Наразі, коли ми говоримо про засоби ідентифікації високого рівня довіри, маються на увазі токени (для кваліфікованого електронного підпису), а для середнього та низького рівнів довіри – інші носії особистого ключа (для вдосконаленого електронного підпису та електронного підпису).
Токен
Засіб кваліфікованого електронного підпису чи печатки, що призначений для зберігання особистого ключа та має вбудовані апаратно-програмні засоби, що забезпечують захист записаних на ньому даних від несанкціонованого доступу, безпосереднього ознайомлення зі значенням параметрів особистих ключів та їх копіювання.
Вимоги ст. 17 Закону №2155 вказують на те, що засоби електронної ідентифікації низького рівня довіри можуть використовуватись у всіх випадках, коли потрібно встановити та підтвердити особисті дані особи, власноручний підпис якої на паперовому аналогу не вимагається.
А там, де паперовий аналог вимагає власноручного підпису, має використовуватися кваліфікований або вдосконалений електронний підпис (засоби електронної ідентифікації середнього або високого рівня довіри).
Увага! АСЦК IДД ДФС, посилаючись на п. 2 ст. 22 Закону №2155, свого часу повідомляв, що з 07.11.2018 р. отримати послуги з формування кваліфікованих сертифікатів відкритих ключів за довіреністю (в т. ч. посвідченою нотаріально) вже неможливо. Адже ідентифікація особи, яка звернулась за отриманням кваліфікованої довірчої послуги до будь-кого з кваліфікованих надавачів електронних довірчих послуг, здійснюється виключно за умови її особистої присутності.
Але на цьому податкові органи не спинилися. За певний час вони наполегливо вимагали для подання електронної звітності переходити виключно на токени (засоби високого рівня довіри). Щоправда, через певний час відмовилися від цього.
I це зрозуміло, адже всі, хто звертався за отриманням токенів, відчули на собі вартість такої послуги, особливо якщо додатково до підпису оформляли ще й електронну печатку.
Загалом, досі окремі суб'єкти використовують ЕЦП, отримані ще до 07.11.2018 р. Сертифікати таких ЕЦП, що його підтверджують, можна використовувати до закінчення строку їх дії, але не пізніше ніж до 07.11.2020 р. (п. 6 Перехідних положень Закону №2155).
Коли КЕП є обов'язковим?
Варто додати до наведеного вище, що для засвідчення чинності відкритого ключа використання лише кваліфікованого сертифіката є обов'язковим для органів державної влади, органів місцевого самоврядування, підприємств, установ та організацій державної форми власності, державних реєстраторів, нотаріусів та інших суб'єктів, уповноважених державою на здійснення функцій державного реєстратора (абз. 2 ч. 2 ст. 17 Закону №2155).
Як свідчить практика використання засобів ідентифікації з високим та середнім рівнем довіри (кваліфіковані та вдосконалені ЕП), з ними періодично виникають проблеми. Зокрема, при поданні податкової звітності до органів ДПС, при зверненні до онлайн будинку юстиції, в інших випадках. Не кажучи вже про те, що отримані токени та ще діючі ЕЦП придбані/прив'язані до юридичних осіб (електронний підпис та електронна печатка).
Тому наразі все-таки вирішено повернутися до легалізації збереження електронних підписів на флешках чи комп'ютерах. Усі пам'ятають, наприклад, коли доступ до клієнт-банку ми мали через збережені на комп'ютерах чи флешках ключі. Але з огляду на пп. 5 п. 3 Постанови №193 банки до цього не повернуться!
Отже, КМУ вирішив через експериментальний проєкт врегулювати використання вдосконалених електронних підписів та печаток, які базуються на кваліфікованих сертифікатах відкритих ключів. Проте цей експеримент діятиме до внесення відповідних змін до Закону №2155, але не пізніше 31.12.2021 р.
Тож у всіх випадках, коли чинне законодавство України прямо не вимагає кваліфікованих електронних підписів чи печаток, фізичні та юридичні особи можуть використовувати такі вдосконалені ЕЦП нарівні з кваліфікованим електронним підписом. Таке є можливим для обміну електронними документами, використання підпису представника фізичної та/або юридичної особи та у всіх інших випадках електронної ідентифікації та автентифікації фізичних та юросіб, окрім п'яти випадків, а саме:
- використання кваліфікованих електронних підписів чи печаток органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності, державними реєстраторами, нотаріусами та іншими суб'єктами, уповноваженими державою на здійснення функцій державного реєстратора, а також кваліфікованими надавачами електронних довірчих послуг і центральним засвідчувальним органом;
- застосування виключно засобів кваліфікованого електронного підпису чи печатки, які мають вбудовані апаратно-програмні засоби, що забезпечують захист записаних на них даних від несанкціонованого доступу, від безпосереднього ознайомлення зі значенням параметрів особистих ключів та їх копіювання (захищених носіїв особистих ключів);
- використання кваліфікованих електронних підписів чи печаток на об'єктах критичної інформаційної інфраструктури для здійснення електронної взаємодії, електронної ідентифікації та автентифікації фізичних, юридичних осіб і представників юридичних осіб, якщо використання електронних довірчих послуг для таких цілей пов'язане з високим ризиком для інформаційної безпеки, що визначається власниками відповідних інформаційних та інформаційно-телекомунікаційних систем;
- вчинення в електронній формі правочинів, що підлягають нотаріальному посвідченню та/або державній реєстрації у випадках, установлених законом;
- надання електронних довірчих послуг у банківській системі України та під час здійснення переказу коштів.
Це важливо!
Результати надання електронних довірчих послуг за експериментальним проєктом (адже це постанова КМУ, а не закон!), пов'язаних зі створенням, перевіркою, підтвердженням та зберіганням удосконалених електронних підписів чи печаток, які базуються на кваліфікованих сертифікатах відкритих ключів, визнаються органами державної влади, органами місцевого самоврядування, а також іншими особами, які надають електронні публічні (зокрема, адміністративні) послуги, та користувачами електронних довірчих послуг.
У будь-якому разі, який би сертифікат ключа ви не придбали – посилений чи вдосконалений, у т. ч. запропонований експериментальним проєктом, відповідні довірчі послуги надаються виключно кваліфікованими надавачами електронних послуг.
Коли можна обійтись без токенів:
1) при зверненні за будь-якими адміністративними послугами;
2) при зверненні із запитами до органів державної влади та органів місцевого самоврядування про надання публічної та іншої інформації;
3) при поданні позовних заяв до суду, апеляційних та касаційних скарг;
4) при зверненні до онлайн будинку юстиції та, відповідно, до будь-яких державних реєстрів;
5) при зверненні до державного реєстратора ЄДР (тут наголосимо, що фізичні та юридичні особи можуть отримати електронну послугу лише при реєстрації юрособи та громадського формування: кажуть, що програма наразі працює у тестовому режимі);
6) при поданні інформації на публічні торги;
7) в інших випадках звернення за адміністративними та публічними послугами до органів державної влади, місцевого самоврядування, юридичних осіб незалежно від форми власності.
Загалом, цей експериментальний проєкт був очікуваний.
По-перше, не всі готові до таких змін, введених Законом №2155, навіть через півтора року. А також через значну вартість послуги з формування кваліфікованих сертифікатів відкритих ключів, яка разом з печаткою становить понад 2 тис грн.
По-друге, малий бізнес та ФОПи не готові ані до таких затрат, ані до необхідності використання таких кваліфікованих ключів інакше, як для подання податкової звітності. Утім, на сьогодні ще можна дивуватися з великих черг в останні дні подання податкової звітності у приміщенні податкового органу. А це прямо свідчить про відсутність зацікавленості малого бізнесу та ФОПів у користуванні такими послугами та кваліфікованими сертифікатами відкритих ключів.
Тому таке спрощення має наблизити малий бізнес та фізичних осіб – підприємців до сфери електронної ідентифікації, посилити інтерес до електронного обміну інформацією та, нарешті, подання податкової звітності в електронній формі.
По-третє, цей експеримент відкриває шлях до використання послуг представників у всіх сферах діяльності – при поданні запитів до органів державної влади та місцевого самоврядування, поданні документів державному реєстратору (і не лише Єдиного державного реєстру юридичних осіб, фізичних осіб – підприємців та громадських формувань, а й до реєстраторів Реєстру речових прав), у всіх інших випадках, коли фізична особа, фізична особа – підприємець чи юридична особа вважає за необхідне скористатися послугами представника.
По-четверте, якщо звернути увагу на перелік носіїв, на яких зберігаються електронні підписи та печатки, то можна побачити, що використовуються захищені та незахищені носії особистого ключа. До захищених належать ті, які надають самі кваліфіковані надавачі електронних довірчих послуг, а до незахищених – звичайні носії типу USB-flash. Але за експериментальним проєктом до кваліфікованого електронного підпису прирівнюються лише електронні підписи, збережені на захищених носіях особистого ключа, видані кваліфікованими надавачами електронних довірчих послуг. Адже, як і раніше, носії на кшталт USB-flash (незахищені носії особистого ключа) можуть використовуватися для генерації та зберігання особистих ключів із подальшою роботою з ними в інформаційних системах, де використання захищених носіїв не є обов'язковим.
Головне питання – чи спростить це роботу українському бізнесу? На нашу думку, не все так просто. Український бізнес не надто довіряє законам, не кажучи вже про експериментальні проєкти, затверджені на підзаконному рівні.
Окрім того, чи готові контрагенти до такого експерименту, якщо до цього часу вони звикли довіряти лише токенам? I чи буде це все сприйматись самими органами державної влади та місцевого самоврядування? Адже, як свідчить практика, печатки давно скасували, а багато нормативних документів так і залишилось з вимогами печатки...
Утім, ми все ж таки сподіваємося, що це в найкоротший час буде закріплено змінами до Закону №2155.
***
Читайте також: