Окончание, начало см. «Стратегия электронного взаимодействия государства и хозяйствующих субъектов: модель взаимодействия» и «Стратегия электронного взаимодействия государства и хозяйствующих субъектов: отчетность и электронный документооборот».

Электронная подпись

Как и в случае ЭДО, развитие электронной подписи напрямую зависит от того, насколько плотным и результативным будет сотрудничество профильных ведомств и экспертного сообщества.

Новый закон об электронной подписи — 63-ФЗ, пришедший на смену закону 1-ФЗ «Об электронной цифровой подписи», вступил в силу всего три года назад. Только 1 января 2014 г. электронные цифровые подписи, выпущенные по старому закону, перестали действовать. А между тем уже сейчас жизнь диктует новые требования к электронной подписи.

Остановимся на самой важной проблеме, которая сейчас существенно ограничивает применение электронной подписи. Суть ее можно коротко обозначить как «обеспечение рисков».

Сертификаты электронных подписей, которые сейчас выпускают удостоверяющие центры, — это фактически электронные паспорта. С каждым годом они дают их обладателям все больше возможностей. С электронной подписью можно участвовать в торгах и госзакупках, с ее помощью можно работать в государственных информационных системах (госуслуги, ЕИАС ФСТ, Росреестр, Росаккредитация и др.) и на торговых площадках («Газпромбанк», «B2B» и пр.). Физическим лицам электронная подпись уже сейчас позволяет регистрировать и снимать с регистрации жителей. В ближайшем будущем появится возможность продавать квартиры, ставить на учет автомобили и т. д.

Казалось бы, это прекрасно. Чем больше ситуаций, в которых юридическую значимость транзакции можно подтвердить электронной подписью, тем скорее мы откажемся от бумажных документов и взаимодействия «офлайн», тем больше событий хозяйственной жизни будет происходить в интернет-пространстве.

Проблема в том, что операции, которые можно совершить с помощью электронной подписи, несут несопоставимые риски. Сравните подписание электронного счета-фактуры и заключение сделки на миллиард рублей. А сертификаты электронной подписи для тех и других целей используются одинаковые.

В этой ситуации оказываются в равной степени не защищены и удостоверяющий центр, и клиент. Удостоверяющий центр несет финансовую ответственность в случае мошенничества с электронной подписью, если будет доказано, что сертификат выдан с нарушением процедур. Но вполне может случиться, что средств УЦ будет недостаточно для возмещения убытков клиента.

С другой стороны, сертификат на подставное лицо может быть получен и при соблюдении всех процедур — например, на поддельный документ. У сотрудника УЦ нет возможности убедиться в его подлинности, кроме визуального осмотра. Кто в таком случае возместит клиенту его убытки? Вопрос открытый.

Все эти риски подрывают доверие к электронной подписи. Широко применяясь для заверения «рядовых» документов, она до сих пор практически не используется для совершения крупных сделок в режиме онлайн. А это сфера, где применение электронной подписи действительно помогло бы существенно сократить издержки.

Как можно решить эту проблему?

Сейчас стоимость сертификата электронной подписи и масштаб рисков, связанных с ее применением, несопоставимы. Перспективный вариант — пойти по пути страховых компаний, которые выдают разные страховые полисы под разные риски. Точно так же стоимость и процедура выдачи сертификатов электронной подписи могла бы варьироваться в зависимости от целей использования сертификата и потенциальных рисков, которые УЦ готов покрыть.

По каким параметрам могут отличаться сертификаты для разных нужд?

1. Цена. Стоимость сертификата должна быть сопоставима с покрытием убытков, которое сможет взять на себя удостоверяющий центр. Соответственно, и сами удостоверяющие центры поделятся на сегменты в зависимости от того, какого типа сертификаты они смогут выдавать.

2. Процедура выдачи. Текущая процедура проверки личности и полномочий получателя ЭП может быть сохранена для «обычных» сертификатов. Для сертификатов с более высокими рисками может быть предусмотрена более тщательная проверка личности.

3. Способ выдачи. Если «обычные» сертификаты могут выдаваться на флэшке, то сертификаты с более высоким обеспечением — только на специальных защищенных устройствах.

Необходима совместная работа профильных ведомств и бизнес-сообщества по подготовке поправок к 63-ФЗ «Об электронной подписи», которые бы законодательно закрепили правовой статус и процедуру выдачи сертификатов электронной подписи разного назначения. В соответствие этим нормам должна быть приведена работа государственных и коммерческих информационных систем.

Попутно с обозначенной глобальной целью могут быть решены частные задачи, которые позволят согласовать нормы 63-ФЗ с практикой работы удостоверяющих центров и применения электронной подписи. Вот о каких задачах идет речь:

Наделение удостоверяющих центров полномочиями по проверке данных физических и юридических лиц. Удостоверяющие центры по сути выдают удостоверение личности — сертификат электронной подписи. При этом ни 1-ФЗ, и 63-ФЗ не наделяет удостоверяющие центры полномочиями проверять представленные документы: направлять запросы в УФМС, пользоваться СМЭВ для проверки данных и т. д.

Между тем потребность в таких проверках очевидна. Например, при обращении в удостоверяющий центр физическое лицо предъявляет паспорт. Этот паспорт может быть украден, в нем может быть аккуратно вклеена другая фотография, за электронной подписью может обратиться человек, внешне очень похожий на владельца паспорта. У сотрудников удостоверяющего центра нет возможности это проверить.

Другой пример: служебные удостоверения, которые предъявляются для подтверждения полномочий. Никакой возможности убедиться в их подлинности, кроме визуальной проверки, нет.

Разумеется, давать каждому удостоверяющему центру полномочия проверки информации неосмотрительно. Мы предлагаем внести изменения в законодательство, позволяющие проводить подобные проверки всем удостоверяющим центрам, прошедшим аккредитацию в Минкомсвязи согласно 63-ФЗ. Удостоверяющим центрам должно быть законодательно разрешено 1) обрабатывать персональные данные, 2) обращаться в органы власти для получения сведений о физических и юридических лицах, в том числе с использованием СМЭВ.

Введение единого регламента заполнения сертификата квалифицированной электронной подписи. Текущая редакция 63-ФЗ позволяет установить дополнительные требования к квалифицированному сертификату электронной подписи. Это приводит к потере его универсальности: для разных целей одному и тому же владельцу нужны разные сертификаты.

Мы предлагаем устранить эту вариативность, законодательно закрепив единый регламент заполнения сертификата.

Перечень ограничений по использованию квалифицированной электронной подписи. По 1-ФЗ каждый сертификат должен был содержать описание возможностей его применения. Если электронная цифровая подпись использовалась иным образом, подписанный документ не имел юридической значимости. Этот принцип напоминает работу с доверенностями, где надо перечислить только то, что доверено делать (полномочия).

В 63-ФЗ вместо описания полномочий ввели понятие «ограничение использования», но этот термин имеет совсем другой смысл (если нет описание области применения, то подпись недействительна; если нет ограничения использования, то подпись может использоваться где угодно).

Это создает прямую угрозу информационной безопасности для получателя электронной подписи (могут быть способы применения подписи, которые не были предусмотрены ограничениями).

Мы предлагаем ввести перечень типовых ограничений приказом Минкомсвязи (например, это может быть реестр ограничений, публикуемый на общедоступном сайте).

Публикация открытых данных

Сегодня работа по обнародованию открытых данных уже не нуждается в пропаганде: она активно ведется. Однако понятно, что главная цель — не просто выкладывание информации в открытый доступ. Важно, чтобы открытые данные приносили реальную пользу предприятиям. Как этого добиться?

Очевидно, что здесь, и как в случае с отчетностью и ЭДО, лучше всего работает описанная нами открытая модель. Что входит в сферу компетенций государства? Ясно, что это, во-первых, нормативное регулирование сферы открытых данных (нужно законодательно закрепить, какие именно данные являются открытыми), а во-вторых, подготовка самих массивов данных.

А вот обработку имеющихся данных проще всего дать на откуп бизнесу — специализированным компаниям. Они создают на основе публикуемой информации сервисы, которые обрабатывают открытую информацию и предлагают ее потребителю в таком виде, в каком она может быть непосредственно использована в работе. Например, они могут обеспечивать пользователям возможность быстрого поиска, устанавливать связи между данными, устранять неточности, производить первичную аналитическую обработку информации и т. д.

Однако чтобы этот механизм работал, нужен орган, который бы отвечал за регулирование и контроль в сфере открытых данных: следил бы за качеством публикуемых данных, отслеживал нормативно закрепленную регулярность обновлений. Эту функцию могла бы взять на себя сторона, заинтересованная в результате, — например, Открытое Правительство.

Такова идеальная модель, которая позволила бы максимально эффективно публиковать и использовать в работе открытые данные. А какие конкретные шаги нужно предпринять, чтобы реализовать эту модель на практике?

Закрепление за данными статуса открытых

Одно из важнейших направлений работы — законодательное открытие данных, которые есть в распоряжении госорганов, но на данный момент не подлежат обнародованию. Прежде всего, это сведения о юридических лицах и ИП, которые помогают принимать решение о сотрудничестве и повышают прозрачность взаимодействия в бизнес-среде. Например, это среднегодовая численность сотрудников, средняя заработная плата, номенклатура выпускаемой продукции/оказываемых услуг, производственные мощности, информация об объемах продаж конкретных товаров с привязкой к конкретным производителям/поставщикам (система штрихкодов).

Эти данные есть в органах статистики, но не доступны для самих субъектов рынка.

Повышение качества публикуемых массивов

Решение об обнародовании того или иного набора данных — это только начало сложной работы, которая требует дополнительных организационных усилий и нормативно-правового регулирования. Вот основные проблемы, с которой сталкиваются компании при обработке данных:

Многообразие форматов представления данных, немашиночитаемые форматы. Яркий пример — данные о госзакупках. Нередко в случаях, когда заказчик хочет, чтобы его закупка не отображалась в поиске, он «прячет» суть заявки в присоединяемые файлы. В случае если этот файл представляет собой скан документа, его содержание практически никак не может быть распознано автоматически. А значит, поисковик такую закупку не найдет.

Решением может стать нормативное закрепление и развитие понятия «электронный документ» и определенных для каждого набора данных правил документирования. Так, применительно к информации о закупках может быть закреплено требование, чтобы текст был представлен в виде символов, а не изображения.

Нерегулярность обновления массивов данных. Кажется очевидным, что данные должны быть актуальны. В противном случае ценность их резко падает. Однако далеко не все ведомства обеспечивают своевременное обновление своих баз.

Все эти шаги в конечном счете будут способствовать тому, чтобы открытые данные были реально «работающими» и приносили предприятиям и государству ощутимую пользу.

Итак, мы рассмотрели возможные направления развития электронного взаимодействия хозяйствующих субъектов и государства. Как мы увидели, закрытая модель при кажущейся простоте воплощения требует от государства серьезных затрат и при этом оказывается недостаточно гибкой.

Альтернативой ей служит открытая модель. Государство при участии экспертного сообщества формулирует «правила игры» и обеспечивает доступ предприятий к необходимой информации. «Интерфейсную» часть информационных систем разрабатывает и создает бизнес — специализированные компании. Они конкурируют между собой за счет простоты и удобства сервиса, а также качества обслуживания.

За 10 лет развития электронного документооборота в России открытая модель доказала свою эффективность. Очевидно, что масштабирование описанной логики работы на новые сферы и бизнес-процессы значительно ускорит переход на электронные коммуникации между хозяйствующими субъектами и государством и позволит уже в ближайшее время существенно сократить бумажный документооборот.

Автор статьи — генеральный директор «СКБ Контур».