О готовности к трансграничному взаимному признанию иностранной электронной подписи
Всем привет, сегодня мы поговорим о теме, которая не так часто освещается в нашем Хабре, а именно о признании и подтверждении действительности иностранной электронной подписи.
Специалисты ГК «Газинформсервис» кроме вопросов информационной безопасности продолжают работать в области ЭДО, криптографии, предоставлять сервис подтверждения действительности иностранной электронной подписи (ЭП), более известный в СНГ как сервис доверенной третьей стороны (ДТС). Подробнее о ДТС мы писали в этой статье. В данном материале мы хотели бы представить актуальное состояние решения задачи трансграничного взаимного признания иностранной ЭП. Материал будет интересен всем, кто по роду профессиональной деятельности заинтересован в применении трансграничного ЭДО или профессионально развивает это направление.
Важным вопросом перехода к безбумажному документообороту во многих трансграничных задачах является взаимное признание иностранной электронной подписи (ВПИЭП). Невозможность такого признания — барьер для перехода к безбумажному трансграничному ЭДО. Задача ВПИЭП актуальна во всем мире, она входит в спектр задач в области трансграничного ЭДО, которые решаются, (в том числе с участием России) на площадках ЕАЭС, СНГ, ЕС, ШОС, ООН и др.
1. В России задача ВПИЭП решается с 2006 года, и к декабрю 2023 года созданы все условия для ВПИЭП на всех уровнях: нормативном, техническом, организационном. Однако глубина проникновения в сегментах B2B, B2G и G2G не одинаковая. Наиболее проработана задача ВПИЭП в сегменте B2B благодаря инициативности и заинтересованности бизнеса. В сегменте B2G самая высокая степень готовности во взаимодействии бизнеса и ФНС России. В сегменте G2G значительные продвижения, в том числе до практической реализации имеются в интегрированной информационной системе (ИИС) Евразийского экономического Союза (ЕАЭС).
2. Базовым принципом для решения задачи ВПИЭП является принцип цифрового суверенитета (ЦС). Он подразумевает в данном контексте, что в каждой стране:
a. В качестве математической (криптографической) основы электронной подписи используются национальные или международные криптографические алгоритмы, реализация которых национальными производителями программного (программно-аппаратного) обеспечения в общем случае не совместима с иностранными. Криптографические средства (средства электронной подписи) являются товаром двойного назначения и их импорт/экспорт имеет существенные ограничения. Таким образом, эта составная часть задачи ВПИЭП (совместимость криптографии), не может быть решена в общем случае за счет импорта/экспорта средств электронной подписи.
b. Имеется собственное национальное нормативно-правовое и нормативно-техническое регулирования данной тематики.
c. Развёрнуты национальные домены доверия электронной подписи (домены доверия национальным удостоверяющим центрам, которые контролируются национальными регуляторами).
В соответствии с принципом ЦС никто никого не заставляет, для обеспечения признания трансграничных электронных документов иностранных резидентов:
использовать не национальную криптографию, или вносить существенные правки в национальное законодательство.
Трансгранично должна признаваться именно национальная электронная подпись, выполненная по правилам той страны, резидентом, которой является субъект электронного взаимодействия.
3. Для эффективного решения задачи ВПИЭП при соблюдении принципа ЦС требуется обеспечить эквивалентный уровень надежности взаимно-признаваемых трансграничных иностранных ЭП. Это требует классификации уровней надежности национальных доменов доверия ЭП в их нормативном, технологическом и организационном обеспечении, их предварительного оценивания и сопоставления для доказывания эквивалентности.
4. Решение этой сложной многогранной задачи похоже на услугу апостиля в аналоговом мире. Решить ее могут специализированные операторы, обладающие достаточной технологической и организационной готовностью, правовым статусом, финансовой ответственностью:
a. В рекомендациях Международного союза электросвязи (ITU-T) X.842 «Информационные технологии — Методы защиты — Руководящие указания по применению и управлению службами доверенной третьей стороны» (далее — X.842) это называется сервисом электронного нотариата (подраздел 7.5).
b. В Регламенте N 910/2014 Европейского парламента и Совета Европейского Союза «Об электронной идентификации и удостоверительных сервисах для электронных транзакций на внутреннем рынке и об отмене Директивы 1999/93/ЕС» (Статья 33) это называется Квалифицированным сервисом проверки подлинности квалифицированной ЭЦП.
c. В Федеральном законе от 06.04.2011 №63-ФЗ «Об электронной подписи» (далее — 63-ФЗ) этот сервис описан как «доверенная третья сторона» (ДТС) (статьи 2 (п.п.17 и 18), 18.1 и 18.2), что не соответствует международной практике (X.842 раздел 7), где все сервисы доверия, включая удостоверяющий центр, сервис меток времени, сервис доверенного архивного хранения и др. являются сервисами доверенной третьей стороны. Аналогичные названия (ДТС) этому сервису даны в законодательствах об электронной подписи Армении, Беларуси, Казахстана, Кыргызстана, Узбекистана.
5. В 63-ФЗ введено понятие аккредитации ДТС. По причине отсутствия по состоянию на декабрь 2023 года сертифицированных программно-аппаратных комплексов ДТС (ПАК ДТС), требования к которым определены Приказом ФСБ России от 4.12.2020 №556, аккредитованных ДТС в России пока нет. При этом работы по разработке и сертификации ПАК ДТС ведутся с 2014 года.
6. Положения 63-ФЗ статьи 7 (часть 3 и 4) определяют, что при решении задачи ВПИЭП подтверждение иностранной ЭП кроме ДТС может выполнять и аккредитованный УЦ. Важно, чтобы ДТС или УЦ обладали технологической возможностью выполнить подтверждение иностранной электронной подписи в соответствии с существующими международными и национальными стандартами и нормативами и выдать результат проверки, который будет принят в качестве юридически-значимого результата проверки ЭП и бизнесом и органами власти.
7. Очень важную роль в формулировании требований к процедуре проверки и результату выполняют «Методические рекомендации по обмену электронными товаросопроводительными документами при трансграничной торговле между хозяйствующими субъектами Российской Федерации и Республики Беларусь с применением механизма доверенной третьей стороны» (далее — МР). Практика оказания услуги ВПИЭП аккредитованным УЦ в соответствии с МР на сегодня уже существует в пилотных проектах и предпромышленной эксплуатации.
8.Требование по описанию порядка ВПИЭП в международном договоре РФ — еще один барьер, не позволявший до августа 2023 года в промышленном режиме решать задачу ВПИЭП. Сам международный договор должен описать сложную технологическую задачу ВПИЭП, а обсуждение и согласование такого международного договора очень сложная бюрократическая процедура. В формате Союзного государства Беларуси и России работа над таким международным договором ведется более 3-х лет. Итак, за период с 1 января 2020 года таких международных договоров пока заключено не было. Поправка, принятая 4 августа 2023 года (часть 4 статьи 7 63-ФЗ) теперь позволяет урегулировать порядок ВПИЭП на уровне договоров между участниками электронного взаимодействия. Такая практика по состоянию на декабрь 2023 года для отношений B2B начинает появляться. В том числе прорабатываются возможности предоставления таких квитанций для целей отчетности юридических лиц.
Вместо заключения
В 4 квартале 2023 года компания «Газинформсервис» подписала соглашения сразу с двумя операторами ЭДО — «Тензор» и «Удобная подпись». Благодаря этому, ЭДО между участники внешнеэкономической деятельности в России, Беларуси и Казахстане становится таким же простым, как и ЭДО внутри стран. «Газинформсервис» в данном случае предоставляет услуги подтверждения действительности иностранной ЭП. Решение позволяет бизнес-партнёрами из разных стран сделать их электронный документооборот юридически значимым. С рядом операторов ЭДО аналогичные договоры, в том числе по ряду других трансграничных направлений, находятся в стадии обсуждения и согласования.
Все вышеописанное стало возможным благодаря многолетней работе, проводимой в том числе и сотрудниками компании. Партнерство демонстрирует, что мы вышли на этап практического применения ВПИЭП и приглашаем всех заинтересованных к использованию этого сервиса.
Приглашаем к обсуждению материала и готовы ответить на ваши вопросы.
Автор статьи Сергей Кирюшкин — к.т.н. советник генерального директора ‑ начальник аккредитованного удостоверяющего центра ООО «Газинформсервис», эксперт UNNExT и РОСЭУ.