А. В. Сохан, эксперт журнала
Журнал «Упрощенная система налогообложения: бухгалтерский учет и налогообложение» № 5/2011
6 апреля 2011 года был принят новый закон, регулирующий отношения, возникающие при использовании электронной подписи. С учетом перехода на электронный вариант сдачи отчетности все большего количества налогоплательщиков и плательщиков страховых взносов, а также ведения и представления документов в электронном формате актуальность применения электронной подписи не вызывает сомнений. Действующие до нового закона положения не отвечали требованиям сегодняшнего дня.
Рассмотрим основные положения произошедших изменений, а также действующие правила об использовании электронной подписи.
Зачем нужен новый закон об ЭЦП?
Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее – Федеральный закон № 63-ФЗ) вступил в силу со дня его официального опубликования, в «Российской газете» он опубликован 08.04.2011 (№ 75). Соответственно, Федеральный закон от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи» (далее – Федеральный закон № 1-ФЗ) признается утратившим силу, но не сразу, а только с 1 июля 2012 года.
В чем была необходимость принятия нового закона, регулирующего порядок применения электронной цифровой подписи?
Федеральный закон № 1-ФЗ содержит концептуальные и техническо-юридические недостатки, которые не позволили обеспечить правовые условия, необходимые для широкого применения электронной цифровой подписи (ЭЦП) в РФ. Как следует из пояснительной записки к проекту нового закона, к таким недостаткам можно отнести следующее:
– вопреки сложившейся мировой практике Федеральный закон № 1-ФЗ допускает использование единственной технологии ЭЦП (основанной на так называемой технологии ассиметричных ключей подписи), делает необходимой единую иерархическую систему удостоверяющих центров, обязывает применять сертифицированные средства ЭЦП;
– его положения не соответствуют основным принципам, реализуемым в иностранном законодательстве и международном праве при осуществлении правового регулирования электронных подписей (ЭП), таким как «технологическая нейтральность» законодательства, правовое признание различных видов электронной подписи, свободное использование средств ЭП, аккредитация удостоверяющих центров;
– недостаточна сфера регулирования закона, из нее исключены как отношения по использованию иных видов ЭП, так и отношения, не являющиеся гражданско-правовыми сделками;
– не допускается ЭЦП юридических лиц;
– Федеральный закон № 1-ФЗ не согласован с иными законодательными актами РФ, в том числе о лицензировании отдельных видов деятельности и техническом регулировании.
Указанные недостатки не позволяют широко использовать положения Федерального закона № 1-ФЗ в правоприменительной практике.
По информации Государственно-правового управления Президента РФ, по состоянию на февраль 2007 года количество действующих в России сертификатов ключа подписи составляет 200 тыс. ед., а число удостоверяющих центров – более 300. Таким образом, процент лиц, использующих ЭЦП в России, не превышает 0,2%, а среднее число сертификатов ключей подписи, выданных удостоверяющим центром, – не более 700, что свидетельствует об использовании ЭЦП преимущественно в корпоративных информационных системах.
Федеральный закон № 63-ФЗ направлен на устранение указанных выше недостатков Федерального закона № 1-ФЗ, а также на расширение сферы использования допустимых видов электронных подписей.
Основные понятия, используемые в новом законе
Итак, Федеральный закон № 63-ФЗ регулирует отношения в области использования электронных подписей в следующих случаях:
– при совершении гражданско-правовых сделок;
– при оказании государственных и муниципальных услуг;
– при исполнении государственных и муниципальных функций;
– при совершении иных юридически значимых действий.
Прежде чем говорить о механизме использования ЭП, надо определиться с основными понятиями, которые необходимо знать бухгалтеру организации. Например, ставшая уже привычной аббревиатура ЭЦП в новом законе отсутствует, используются следующие основные понятия:
– электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;
– сертификат ключа проверки электронной подписи – электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП;
– квалифицированный сертификат ключа проверки ЭП – сертификат ключа проверки ЭП, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования ЭП;
– владелец сертификата ключа проверки ЭП – лицо, которому в установленном законом порядке выдан сертификат ключа проверки ЭП;
– ключ ЭП – уникальная последовательность символов, предназначенная для создания ЭП;
– ключ проверки ЭП – уникальная последовательность символов, однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП;
– удостоверяющий центр – юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки ЭП, а также иные функции, предусмотренные законом;
– аккредитация удостоверяющего центра – признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям закона;
– средства ЭП – шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций – создание ЭП, проверка ЭП, создание ключа ЭП и ключа проверки ЭП;
– средства удостоверяющего центра – программные и (или) аппаратные средства, используемые для реализации функций удостоверяющего центра;
– участники электронного взаимодействия – осуществляющие обмен информацией в электронной форме государственные органы, органы местного самоуправления, организации, а также граждане;
– корпоративная информационная система – информационная система, участники электронного взаимодействия в которой составляют определенный круг лиц;
– информационная система общего пользования – информационная система, участники электронного взаимодействия в которой составляют неопределенный круг лиц и в использовании которой этим лицам не может быть отказано.
Даже на первый взгляд видно серьезное отличие основных понятий, приведенных в новом законе, от действовавших в Федеральном законе № 1-ФЗ. Например, по новому законодательству удостоверяющим центром теперь может быть как юридическое лицо, так и индивидуальный предприниматель, соответствующие определенным требованиям. По старому законодательству это могло быть только юридическое лицо.
Принципы использования электронной подписи
В Федеральном законе № 63-ФЗ заявлены следующие принципы использования ЭП:
– право участников электронного взаимодействия использовать ЭП любого вида по своему усмотрению, если требование об использовании конкретного вида ЭП в соответствии с целями ее использования не предусмотрено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами либо соглашением между участниками электронного взаимодействия;
– возможность использования участниками электронного взаимодействия по своему усмотрению любой информационной технологии и (или) технических средств, позволяющих выполнить требования закона применительно к использованию конкретных видов ЭП;
– недопустимость признания ЭП и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая ЭП создана не собственноручно, а с использованием средств ЭП для автоматического создания и (или) автоматической проверки ЭП в информационной системе.
Виды электронных подписей
Согласно новому закону предполагается два вида ЭП:
– простая электронная подпись;
– усиленная электронная подпись.
Усиленная электронная подпись, в свою очередь, может быть неквалифицированной и квалифицированной.
Простая электронная подпись (ПЭП) – это электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
Неквалифицированная электронная подпись (НЭП) – это электронная подпись, которая:
– получена в результате криптографического преобразования информации с использованием ключа ЭП;
– позволяет определить лицо, подписавшее электронный документ;
– позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
– создается с использованием средств ЭП.
Квалифицированная электронная подпись (КЭП) – это электронная подпись, которая соответствует всем признакам НЭП и следующим дополнительным признакам:
– ключ проверки ЭП указан в квалифицированном сертификате;
– для создания и проверки ЭП используются средства ЭП, получившие подтверждение соответствия требованиям, установленным в соответствии с законом.
При использовании НЭП сертификат ключа проверки ЭП может не создаваться, если соответствие ЭП признакам НЭП, установленным законом, может быть обеспечено без использования сертификата ключа проверки ЭП.
Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью
Во-первых, информация в электронной форме, подписанная КЭП, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, кроме случая, когда федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.
Во-вторых, информация в электронной форме, подписанная ПЭП или НЭП, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных НЭП, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать порядок проверки ЭП.
В-третьих, если в соответствии с федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или обычаем делового оборота документ должен быть заверен печатью, электронный документ, подписанный усиленной электронной подписью и признаваемый равнозначным документу на бумажном носителе, подписанному собственноручной подписью, признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью и заверенному печатью. Федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия могут быть предусмотрены дополнительные требования к электронному документу в целях признания его равнозначным документу на бумажном носителе, заверенному печатью.
Кроме того, устанавливается, что одной ЭП могут быть подписаны несколько связанных между собой электронных документов (пакет электронных документов). При подписании ЭП пакета электронных документов каждый из электронных документов, входящих в этот пакет, считается подписанным ЭП того вида, которой подписан пакет электронных документов.
Использование простой электронной подписи
Электронный документ считается подписанным ПЭП при выполнении в том числе одного из следующих условий:
– ПЭП содержится в самом электронном документе;
– ключ ПЭП применяется в соответствии с правилами, установленными оператором информационной системы, с использованием которой осуществляются создание и (или) отправка электронного документа, и в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ.
Нормативные правовые акты и (или) соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных ПЭП, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать, в частности:
– правила определения лица, подписывающего электронный документ, по его ПЭП;
– обязанность лица, создающего и (или) использующего ключ ПЭП, соблюдать его конфиденциальность.
Обратите внимание:
Использование ПЭП для подписания электронных документов, содержащих сведения, составляющие государственную тайну, или в информационной системе, содержащей сведения, составляющие государственную тайну, не допускается.
Использование усиленных электронных подписей
При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:
– обеспечивать конфиденциальность ключей ЭП, в частности, не допускать использование принадлежащих им ключей ЭП без их согласия;
– уведомлять удостоверяющий центр, выдавший сертификат ключа проверки ЭП, и иных участников электронного взаимодействия о нарушении конфиденциальности ключа ЭП в течение не более одного рабочего дня со дня получения информации о таком нарушении;
– не использовать ключ ЭП при наличии оснований полагать, что его конфиденциальность нарушена;
– использовать для создания и проверки КЭП, создания ключей КЭП и ключей их проверки средства ЭП, получившие подтверждение соответствия требованиям, установленным согласно рассматриваемому закону.
КЭП признается действительной до тех пор, пока решением суда не установлено иное, при одновременном соблюдении следующих условий:
– квалифицированный сертификат создан и выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи указанного сертификата;
– квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен;
– имеется положительный результат проверки принадлежности владельцу квалифицированного сертификата КЭП, с помощью которой подписан электронный документ, и подтверждено отсутствие изменений, внесенных в этот документ после его подписания. При этом проверка осуществляется с использованием средств ЭП, получивших подтверждение соответствия требованиям, установленным согласно Федеральному закону № 63-ФЗ, и с использованием квалифицированного сертификата лица, подписавшего электронный документ;
– КЭП используется с учетом ограничений, содержащихся в квалифицированном сертификате лица, подписывающего электронный документ (если такие ограничения установлены).
Обратите внимание:
Электронный документ, подписанный ЭЦП до даты признания утратившим силу Федерального закона № 1-ФЗ, то есть до 1 июля 2012 года, признается электронным документом, подписанным КЭП в соответствии с новым законом.
Средства электронной подписи
Для создания и проверки ЭП, создания ключа и ключа проверки ЭП должны использоваться средства ЭП, которые:
1) позволяют установить факт изменения подписанного электронного документа после момента его подписания;
2) обеспечивают практическую невозможность вычисления ключа ЭП из электронной подписи или из ключа ее проверки.
При создании ЭП средства ЭП должны:
– показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает;
– создавать ЭП только после подтверждения лицом, подписывающим электронный документ, операции по созданию ЭП;
– однозначно показывать, что ЭП создана.
При проверке ЭП средства ЭП должны показывать содержание электронного документа, подписанного ЭП, информацию о внесении изменений в подписанный ЭП электронный документ, а также указывать на лицо, с использованием ключа ЭП которого подписаны электронные документы.
Удостоверяющий центр
Удостоверяющий центр создает сертификаты ключей проверки ЭП и выдает такие сертификаты лицам, обратившимся за их получением (заявителям), устанавливает сроки действия сертификатов ключей проверки ЭП, аннулирует выданные этим удостоверяющим центром сертификаты ключей проверки ЭП. Кроме этого, по обращению заявителя выдает средства ЭП, содержащие ключ ЭП и ключ проверки ЭП или обеспечивающие возможность создания ключа ЭП и ключа проверки ЭП заявителем.
Также удостоверяющий центр обязан вести реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки ЭП со всей необходимой информацией, а также осуществляет еще целый ряд функций по работе с ЭП.
Удостоверяющий центр осуществляет создание и выдачу сертификата ключа проверки ЭП на основании соглашения между удостоверяющим центром и заявителем. Сертификат ключа проверки ЭП должен содержать:
– даты начала и окончания срока его действия;
– фамилию, имя и отчество (если имеется) – для физических лиц, наименование и место нахождения – для юридических лиц или иную информацию, позволяющую идентифицировать владельца сертификата ключа проверки ЭП;
– ключ проверки ЭП;
– наименование используемого средства ЭП и (или) стандарты, требованиям которых соответствуют ключ ЭП и ключ проверки ЭП;
– наименование удостоверяющего центра, который выдал сертификат ключа проверки ЭП;
– иную информацию, предусмотренную законом.
Если сертификат ключа проверки ЭП выдается юридическому лицу, в качестве владельца сертификата ключа проверки ЭП наряду с указанием наименования юридического лица указывается физическое лицо, действующее от имени юридического лица на основании учредительных документов юридического лица или доверенности, но допускается и не указывать такое физическое лицо. Владельцем такого сертификата ключа проверки ЭП признается юридическое лицо, информация о котором содержится в сертификате.
Сертификаты ключей проверки ЭП могут выдаваться в форме как электронных документов, так и документов на бумажном носителе. Владелец сертификата ключа проверки ЭП, выданного в форме электронного документа, вправе получить также копию сертификата ключа проверки ЭП на бумажном носителе, заверенную удостоверяющим центром.
Сертификат ключа проверки ЭП действует с момента его выдачи, если иная дата начала действия не указана в самом сертификате ключа проверки ЭП.
Сертификат ключа проверки ЭП прекращает свое действие:
– в связи с истечением установленного срока его действия;
– на основании заявления владельца сертификата ключа проверки ЭП, подаваемого в форме документа на бумажном носителе или в форме электронного документа;
– в случае прекращения деятельности удостоверяющего центра без перехода его функций другим лицам;
– в иных случаях, установленных законом или соглашением между удостоверяющим центром и владельцем сертификата ключа проверки ЭП.
Действие сертификата ключа проверки ЭП прекращается с момента внесения записи об этом в реестр сертификатов.
Использование аннулированного сертификата ключа проверки ЭП не влечет юридических последствий, за исключением тех, которые связаны с его аннулированием.
Квалифицированный сертификат
Квалифицированный сертификат подлежит созданию с использованием средств аккредитованного удостоверяющего центра и должен содержать:
– уникальный номер квалифицированного сертификата, даты начала и окончания его действия;
– фамилию, имя и отчество (если имеется) владельца квалифицированного сертификата – для физического лица; наименование, место нахождения и ОГРН владельца квалифицированного сертификата – для юридического лица;
– страховой номер индивидуального лицевого счета владельца квалифицированного сертификата – для физического лица либо ИНН владельца квалифицированного сертификата – для юридического лица;
– ключ проверки ЭП;
– наименования средств ЭП и средств аккредитованного удостоверяющего центра, которые использованы для создания ключа ЭП, ключа проверки ЭП, квалифицированного сертификата, а также реквизиты документа, подтверждающего соответствие указанных средств требованиям, установленным в соответствии с рассматриваемым законом;
– наименование и место нахождения аккредитованного удостоверяющего центра, который выдал квалифицированный сертификат, номер квалифицированного сертификата удостоверяющего центра;
– ограничения использования квалифицированного сертификата (если такие ограничения устанавливаются);
– иную информацию о владельце квалифицированного сертификата (по требованию заявителя).
Если заявителем представлены в аккредитованный удостоверяющий центр документы, подтверждающие его право действовать от имени третьих лиц, в квалифицированный сертификат может быть включена информация о таких правомочиях заявителя и сроке их действия.
Квалифицированный сертификат выдается в форме, требования к которой устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности. В случае аннулирования квалифицированного сертификата, выданного аккредитованному удостоверяющему центру, выдавшему квалифицированный сертификат заявителю, либо в случае аннулирования или истечения срока аккредитации удостоверяющего центра квалифицированный сертификат, выданный аккредитованным удостоверяющим центром заявителю, прекращает свое действие.
Владелец квалифицированного сертификата обязан:
– не использовать ключ ЭП и немедленно обратиться в аккредитованный удостоверяющий центр, выдавший квалифицированный сертификат, для прекращения действия этого сертификата при наличии оснований полагать, что конфиденциальность ключа ЭП нарушена;
– использовать КЭП в соответствии с ограничениями, содержащимися в квалифицированном сертификате (если такие ограничения установлены).
При выдаче квалифицированного сертификата аккредитованный удостоверяющий центр обязан:
– установить личность заявителя – физического лица, обратившегося к нему за получением квалифицированного сертификата;
– получить от лица, выступающего от имени заявителя – юридического лица, подтверждение правомочия обращаться за получением квалифицированного сертификата.
При обращении в аккредитованный удостоверяющий центр заявитель указывает на ограничения использования квалифицированного сертификата (если такие ограничения устанавливаются) и представляет документы, подтверждающие достоверность информации, предоставленной заявителем для включения в квалифицированный сертификат, либо их надлежащим образом заверенные копии.
Физическое лицо представляет основной документ, удостоверяющий личность, страховое свидетельство государственного пенсионного страхования.
Юридическое лицо представляет учредительные документы, документ, подтверждающий факт внесения записи о юридическом лице в ЕГРЮЛ, и свидетельство о постановке на учет в налоговом органе.
Также предоставляется доверенность или иной документ, подтверждающий право заявителя действовать от имени других лиц.
При получении квалифицированного сертификата заявителем последний должен быть под расписку ознакомлен аккредитованным удостоверяющим центром с информацией, содержащейся в квалифицированном сертификате, кроме этого, ему выдается руководство по обеспечению безопасности использования КЭП и средств КЭП.
Обратите внимание:
Сертификаты ключей подписей, выданные в соответствии с Федеральным законом № 1-ФЗ, признаются квалифицированными сертификатами согласно Федеральному закону № 63-ФЗ.
Таким образом, новый закон об ЭП направлен на устранение недостатков и пробелов в правовом регулировании ЭП в России при сохранении уже сложившейся практики использования ЭЦП.
Одновременно с Федеральным законом № 63-ФЗ был принят Федеральный закон от 06.04.2011 № 65-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «Об электронной подписи», который приводит законодательные акты в соответствие с новым законодательством об ЭП.
Хотелось бы обратить внимание на то, что ЭП не отменяет институт официальных публикаций нормативных документов, а дополняет его. Любые нормативные акты начинают действовать только после официальной публикации, поэтому новые нормативные документы будут вступать в силу в прежнем порядке, по крайней мере в ближайшем будущем.
Еще один важный вопрос остался за кадром: в Федеральном законе № 63-ФЗ ничего не сказано о том, сколько будет стоить ЭП для физических и юридических лиц. Когда данный закон готовился, были предложения сделать ЭП бесплатной, но эксперты сочли это нецелесообразным. Для того чтобы закон об ЭП дал максимальный эффект, государство должно способствовать формированию конкурентного рынка услуг и товаров, связанных с использованием ЭП. На этом пути пока есть как технические, так и организационные трудности.