Как стало известно “Ъ”, Национальный совет финансового рынка (НСФР) направил письмо в Думу с предложением доработать готовящийся к принятию в первом чтении законопроект о внесении изменений в закон «Об информации, информационных технологиях и о защите информации» с учетом предложений финансистов.
Документ, в частности, устанавливает порядок получения от граждан разрешения на доступ и обработку персональных данных в электронном виде.
Проект предполагается рассмотреть в марте.
Сегодня все, кто пользуется порталом «Госуслуг», используют простую электронную подпись (ПЭП) единой системы идентификации и аутентификации (ЕСИА), пояснил “Ъ” глава НСФР Андрей Емелин. Ее, по словам господина Емелина, можно получить только после личного посещения удостоверяющего центра или уполномоченного банка. «В законопроекте ПЭП ЕСИА отсутствует как способ аутентификации для предоставления физлицом коммерческой организации разрешения на обработку своих персональных данных — там эта процедура разрешена только по усиленной неквалифицированной или квалифицированной электронной подписи (УНЭП или УКЭП)»,— говорит он.
УНЭП, по мнению Андрея Емелина, не более защищена, но гораздо менее распространена, чем ПЭП. Получить ее можно в приложении «Госключ», по тем же данным (логин и пароль), что и ПЭП ЕСИА. «Если пароль от портала "Госуслуг" окажется скомпрометирован, то владельцы обоих вариантов ЭП будут в одинаковом положении»,— поясняет он. Основная же проблема с УНЭП, как отметил Андрей Емелин, заключается в том, что «клиентов, загрузивших приложение "Госключ", не так много и расти их число будет постепенно, в то время как ПЭП ЕСИА уже есть у более чем 100 млн человек».
Принятие закона в его нынешнем виде сразу отсечет абсолютное большинство граждан, которые не смогут дать разрешение на обработку своих персональных данных в электронной форме, заключает глава НСФР.
В рамках эксперимента по созданию «Цифрового профиля гражданина» банки и страховщики, которые являются основными его участниками, получают данные бесплатно. В проекте же говорится, что правительство может установить перечень сведений, которые могут предоставляться на возмездной основе. Если в этом перечне окажутся данные, которые банк по закону должен запросить у клиента, то кредитная организация скорее предложит клиенту лично посетить офис, чем станет платить.
По словам источника “Ъ” на банковском рынке, эксперимент по созданию цифрового профиля гражданина идет третий год и в ходе него не было замечено каких-либо проблем с безопасностью, несмотря на использование только ПЭП ЕСИА. Как пояснил руководитель практики Technology & Product Comply Сергей Сайганов, «ключевое отличие двух систем состоит в том, что для использования ПЭП ЕСИА достаточно только подтвержденной записи на "Госуслугах", тогда как в "Госключе" выдача и использование ЭП происходит в отдельном мобильном приложении на базе технологии IDPoint — при этом подтверждение личности для выдачи подписи в основном осуществляется также через ЕСИА (для УНЭП)».
Максут Шадаев, глава Минцифры, на форуме Tadviser Summit 31 мая 2022 года: «Мы считаем, что любые проблемы на рынке дают возможность развивать нам цифровые сервисы».
При этом эксперты считают, что для подписания разрешения на обработку персональных данных ПЭП ЕСИА вполне хватит. По словам директора технического департамента RTM Group Федора Музалевского, ПЭП ЕСИА выдается фактически в МФЦ. По его словам, можно разрешить и ПЭП ЕСИА для доступа к персональным данным, как минимум, в целях популяризации такого вида подписи. «Слабее она только теоретически, практические векторы атаки на данный вид простой подписи пока не реализованы»,— уверен он. По данным, приведенным в письме НСФР, если по закону подписать согласие на обработку персональных данных можно будет только УНЭП и УКЭП, это, «по оценкам финансовых организаций, снизит конверсию до уровня 10–15%, что сделает нецелесообразным дальнейшее внедрение цифрового профиля гражданина в клиентские сценарии со стороны коммерческих организаций».