Марченко В.Б. ПРАВОВІ ЗАСАДИ ДЕРЖАВНОГО КОНТРОЛЮ У СФЕРІ ЕЛЕКТРОННОГО ЦИФРОВОГО ПІДПИСУ. Порівняльно-аналітичне право. 2017. № 4. С.185-188. [#053]

УДК 342.951

ПРАВОВІ ЗАСАДИ ДЕРЖАВНОГО КОНТРОЛЮ У СФЕРІ ЕЛЕКТРОННОГО ЦИФРОВОГО ПІДПИСУ

LEGAL BASICS OF STATE CONTROL IN THE FIELD OF ELECTRONIC DIGITAL SIGNATURE

Марченко В.Б., 

кандидат юридичних наук, доцент,

доцент кафедри правового регулювання економіки, 

Київського національного економічного університету імені Вадима Гетьмана

 

В статті аналізуються правові засади державного контролю у сфері електронного цифрового підпису. Визначено систему нормативно-правових актів, що регулюють контрольні відносини у сфері ЕЦП. Наведено міжнародно-правові орієнтири розвитку правового регулювання у даній сфері. Підтримується ідея щодо оптимізації контрольних функцій держави.

Ключові слова: електронний цифровий підпис, контролюючий орган у сфері ЕЦП, державний нагляд (контроль) у сфері ЕЦП, Адміністрація держспецзв’язку, електронна ідентифікація та довірчі послуги, критерії, за якими оцінюється ступінь ризику від провадження господарської діяльності у сфері послуг ЕЦП.

В статье анализируются правовые основы государственного контроля в сфере электронной цифровой подписи. Определена система нормативно-правовых актов, которые регулируют контрольные отношения в сфере ЭЦП. Приведены международно-правовые ориентиры развития правового регулирования в данной сфере. Поддерживается идея оптимизации контрольных функций государства.

Ключевые слова: электронная цифровая подпись, контролирующий орган в сфере ЕЦП, государственный надзор (контроль) в сфере ЭЦП, Администрация госспецсвязи, электронная идентификация и доверительные услуги, критерии, за которыми оценивается степень риска от осуществления хозяйственной деятельности в сфере услуг ЭЦП.

In the article legal basics of state control are analysed in the field of electronic digital signature. The system of normatively-legal acts that regulate control relations in the field of EDS is determined. International law reference-points over of development of the legal adjusting are brought in this sphere. An idea is grounded on simplification and increase of efficiency of control procedures.

Keywords: electronic digital signature, supervisory organ in the field of EDS, state supervision (control) in the field of EDS, Administration of the special state communication, electronic authentication and confidence services, criteria after that a risk degree is estimated from realization of economic activity in the field of services of EDS.

 

Постановка проблеми. Відносини у сфері контролю держави за діяльністю суб'єктів господарювання є одними із найгостріших і найсуперечливіших в Україні. Водночас масштаби такої контрольної діяльності розширюються в міру того, як з'являються все нові види діяльності господарюючих суб'єктів, що зачіпають інтереси значної частини суспільства. Відповідно держава, діючи від імені та в інтересах суспільства в цілому, розширює правові та організаційні рамки свого контролю. Надання послуг щодо електронного цифрового підпису (ЕЦП) є однією з новітніх сфер, де запроваджено державний контроль. Контрольні відносини щодо ЕЦП неминуче породжують суперечки, що нерідко знаходять вирішення лише через судові процедури [1].

Дослідження правових засад державного контролю у сфері ЕЦП є актуальним не лише через внутрішні чинники, але також у світлі євроінтеграційного курсу України. Адже наша держава взяла на себе зобов’язання щодо імплементації значного масиву норм законодавства ЄС, в т.ч. і щодо послуг ЕЦП. Ще одним аргументом на користь даного напряму правових досліджень є фактична відсутність відповідних наукових публікацій щодо контролю у сфері ЕЦП.

Метою статті є визначення правових засад державного контролю у сфері діяльності щодо надання послуг електронного цифрового підпису, системи відповідних нормативно-правових актів, міжнародно-правових орієнтирів та перспектив правового розвитку і вдосконалення даної системи контролю.

Виклад основного матеріалу. Досліджуючи правові засади державного контролю у сфері електронного цифрового підпису слід враховувати декілька законодавчих напрямів, зокрема, галузеве законодавство, яке регулює діяльність у даній сфері, законодавство, яке визначає організаційно-правові засади державного контролю загалом, а також міжнародно-правові норми у сфері ЕЦП.

В Україні галузевим законом, який регулює відносини щодо електронного цифрового підпису є Закон України «Про електронний цифровий підпис» [2]. Поняття контролюючого органу у цьому законі визначає стаття 12, відповідно до якої функції контролюючого органу здійснює спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації. Таким органом на сьогодні є Адміністрація Державної служби спеціального зв’язку та захисту інформації України (Адміністрація Держспецзв’язку) [3]. Відповідно до вищевказаної статті контролюючий орган перевіряє дотримання вимог Закону «Про електронний цифровий підпис» центральним засвідчувальним органом, засвідчувальними центрами та центрами сертифікації ключів. У разі невиконання або неналежного виконання обов'язків та виявлення порушень вимог, встановлених законодавством для центру сертифікації ключів, засвідчувального центру, контролюючий орган дає розпорядження центральному засвідчувальному органу про негайне вжиття заходів, передбачених законом.

Звертаючись до контрольного законодавства, слід почати з того, що господарська діяльність у сфері послуг ЕЦП не підлягає такому особливому виду державного контролю як ліцензування. Це витікає із п.8 статті 7 Закону України «Про ліцензування видів господарської діяльності» [4], відповідно до якого ліцензуванню підлягає господарська діяльність у сфері телекомунікацій з урахуванням особливостей, визначених Законом України «Про телекомунікації», надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації, за переліком, що визначається Кабінетом Міністрів України.

Базовою правовою основою для здійснення державного контролю у сфері ЕЦП є Закон України «Про основні засади державного нагляду (контролю) у сфері господарської діяльності» [5]. Відповідно до п.4 статті 4 вказаного закону виключно законами встановлюються: органи, уповноважені здійснювати державний нагляд (контроль) у сфері господарської діяльності; види господарської діяльності, які є предметом державного нагляду (контролю); повноваження органів державного нагляду (контролю) щодо зупинення виробництва (виготовлення) або реалізації продукції, виконання робіт, надання послуг; вичерпний перелік підстав для зупинення господарської діяльності; спосіб та форми здійснення заходів здійснення державного нагляду (контролю); санкції за порушення вимог законодавства і перелік порушень, які є підставою для видачі органом державного нагляду (контролю) припису, розпорядження або іншого розпорядчого документа.

У цьому ж пункті зазначається, що орган державного нагляду (контролю) не може здійснювати державний нагляд (контроль) у сфері господарської діяльності, якщо закон прямо не уповноважує такий орган на здійснення державного нагляду (контролю) у певній сфері господарської діяльності та не визначає повноваження такого органу під час здійснення державного нагляду (контролю).

Таким законом, уповноважуючим на здійснення державного нагляду (контролю) у сфері ЕЦП є Закон України «Про Державну службу спеціального зв’язку та захисту інформації України» (ЗУ ДССЗЗІ) [6]. Обов’язки Державної служби спеціального зв’язку та захисту інформації  України (ДССЗЗІ) визначаються статтею 14 вказаного закону. Відповідно до пп.29 п.1 зазначеної статті На ДССЗЗІ України відповідно до визначених завдань покладається обов’язок щодо встановлення порядку здійснення державного контролю і здійснення державного контролю за додержанням вимог законодавства, а також вимог нормативних документів у сфері надання послуг електронного цифрового підпису.

Права Державної служби спеціального зв’язку та захисту інформації  України визначаються статтею 15 однойменного закону. Відповідно до пп.5 п.1 вказаної статті для забезпечення виконання покладених на неї обов’язків ДССЗЗІ України має право проводити планові та позапланові перевірки центрального засвідчувального органу, засвідчувальних центрів, акредитованих центрів сертифікації ключів і центрів сертифікації ключів щодо додержання ними вимог законодавства у сфері надання послуг електронного цифрового підпису.

Відповідно до п.2 статті 7 ЗУ ДССЗЗІ Положення про центральний орган виконавчої влади, що забезпечує формування та реалізацію державної політики у сферах організації спеціального зв’язку, захисту інформації, телекомунікацій та користування радіочастотним ресурсом України, затверджує Кабінет Міністрів України. Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України було затверджене Постановою КМУ від 3 вересня 2014 р. № 411 [3]. Положення фактично дублює норми однойменного закону у частині контрольних повноважень сфері ЕЦП.

Одним із ключових показників, які застосовуються при розробці планових заходів державного нагляду (контролю) є ступінь ризику від провадження господарської діяльності. Відповідно до п.2 статті 5 ЗУ «Про основні засади державного нагляду (контролю) у сфері господарської діяльності» Методику розроблення критеріїв, за якими оцінюється ступінь ризику від провадження господарської діяльності та визначається періодичність проведення планових заходів державного нагляду (контролю) розробляє Центральний орган виконавчої влади, що реалізує державну регуляторну політику, політику з питань нагляду (контролю) у сфері господарської діяльності, ліцензування та дозвільної системи у сфері господарської діяльності та дерегуляції господарської діяльності.

Вказана Методика має передбачати, у тому числі, оцінку ступеня небезпеки, масштабу, виду та сфери діяльності, наявність порушень у попередній діяльності суб’єктів господарювання (крім новостворених). Орган державного нагляду (контролю) визначає у віднесеній до його відання сфері критерії, за якими оцінюється ступінь ризику від провадження господарської діяльності. Критерії, за якими оцінюється ступінь ризику від провадження господарської діяльності та визначається періодичність проведення планових заходів державного нагляду (контролю), затверджуються Кабінетом Міністрів України за поданням органу державного нагляду (контролю).

Орган державного нагляду (контролю) оприлюднює критерії та періодичність проведення планових заходів із здійснення державного нагляду (контролю) шляхом розміщення на своєму офіційному веб-сайті у порядку, визначеному законодавством. Планові заходи державного нагляду (контролю) здійснюються органом державного нагляду (контролю) за діяльністю суб’єктів господарювання, яка віднесена: до високого ступеня ризику – не частіше одного разу на два роки; до середнього ступеня ризику – не частіше одного разу на три роки; до незначного ступеня ризику – не частіше одного разу на п’ять років.

Критерії, за якими оцінюється ступінь ризику від провадження господарської діяльності у сфері послуг електронного цифрового підпису і визначається періодичність проведення планових заходів державного нагляду (контролю) Адміністрацією Державної служби спеціального зв’язку та захисту інформації затверджені Постановою КМУ від 13 серпня 2014 р. № 329 [7]. Відповідно до зазначеної Постанови критеріями, за якими оцінюється ступінь ризику від провадження господарської діяльності у сфері послуг електронного цифрового підпису, є: вид послуги електронного цифрового підпису; порушення вимог законодавства щодо провадження господарської діяльності у зазначеній сфері. Планові заходи, пов’язані з державним наглядом (контролем) за діяльністю суб’єктів господарювання у сфері послуг електронного цифрового підпису, проводяться з такою періодичністю: з високим ступенем ризику – не частіше ніж один раз на рік; із середнім ступенем ризику – не частіше ніж один раз на три роки; з незначним ступенем ризику – не частіше ніж один раз на п’ять років. Звертає на себе увагу відмінність від ЗУ ДССЗЗІ у частині періодичності планових заходів державного нагляду (контролю) за діяльністю суб’єктів господарювання з високим ступенем ризику: в Законі вона становить не частіше одного разу на два роки, а в Постанові – не частіше ніж один раз на рік.

Відповідно до покладених законодавством повноважень Адміністрацією Держспецзв’язку видано Положення про порядок здійснення державного контролю за додержанням вимог законодавства у сфері електронного цифрового підпису [8]. Згідно із вказаним Положенням контроль здійснюється у формі безвиїзного нагляду або перевірок. При цьому безвиїзний нагляд – це діяльність контролюючого органу, пов'язана зі збором інформації від суб'єктів правових відносин у сфері послуг ЕЦП з метою отримання відомостей про явища та процеси, що відбуваються у сфері послуг ЕЦП. Перевірка – плановий або позаплановий захід контролю у сфері ЕЦП, який проводиться посадовими особами Державної служби спеціального зв’язку та захисту інформації України відповідно до їх функціональних повноважень за місцезнаходженням суб'єкта перевірки та здійснюється за комплексом питань або окремих питань, визначених у Положенні. Планові перевірки проводяться відповідно до плану перевірок суб'єктів у сфері послуг ЕЦП, затвердженого Адміністрацією Держспецзв'язку. Зокрема, на сьогодні є чинним План здійснення Адміністрацією Державної служби спеціального зв’язку та захисту інформації України державного нагляду (контролю) суб’єктів правових відносин у сфері послуг електронного цифрового підпису на 2017 рік [9]. Однак тут слід враховувати тимчасовий мораторій на проведення контрольних планових заходів, встановлений Законом України «Про тимчасові особливості здійснення заходів державного нагляду (контролю) у сфері господарської діяльності».

Таким чином, правовою основою контролю у сфері ЕЦП є галузевий закон «Про електронний цифровий підпис»; загальне контрольне законодавство, зокрема, закон «Про основні засади державного нагляду (контролю) у сфері господарської діяльності» з урахуванням закону «Про тимчасові особливості здійснення заходів державного нагляду (контролю) у сфері господарської діяльності»; законодавство щодо уповноваженого контрольного органу у сфері ЕЦП, зокрема, закон «Про Державну службу спеціального зв’язку та захисту інформації України», затверджені постановами КМУ «Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України», «Критерії, за якими оцінюється ступінь ризику від провадження господарської діяльності у сфері послуг електронного цифрового підпису і визначається періодичність проведення планових заходів державного нагляду (контролю) Адміністрацією Державної служби спеціального зв’язку та захисту інформації»; відомчі підзаконні акти ДССЗЗІ, зокрема, «Положення про порядок здійснення державного контролю за додержанням вимог законодавства у сфері електронного цифрового підпису», «План здійснення Адміністрацією Державної служби спеціального зв’язку та захисту інформації України державного нагляду (контролю) суб’єктів правових відносин у сфері послуг електронного цифрового підпису на 2017 рік».

Міжнародно-правовим орієнтиром щодо розвитку і вдосконалення правових засад державного контролю у сфері ЕЦП є Угода про асоціацію з Європейським Союзом [10]. Реалізація цього документа створює для України десятки, а то й сотні питань, у напрямі яких необхідно прикласти законодавчі та організаційні зусилля задля наближення нашої держави і суспільства до правового порядку ЄС. Від часу укладення Угоди Україна веде спрямовану роботу над завданнями асоціації ас. Одним із визначальних правових документів у цьому сенсі є затверджений Кабінетом міністрів України План заходів з імплементації Угоди про асоціацію [11]. Структурно цей документ включає три частини: План заходів з імплементації Угоди про асоціацію у цілому, а також окремо План заходів з імплементації розділу IV “Торгівля і питання, пов’язані з торгівлею” Угоди та План заходів з імплементації розділу V “Економічне та галузеве співробітництво” Угоди.

Пунктом 60 вищезазначеного Плану заходів з імплементації розділу IV Угоди передбачено імплементувати положення Регламенту (ЄС) 910/2014 Європейського Парламенту та Ради від 23 липня 2014 р. щодо електронної ідентифікації та довірчих послуг для цілей електронних трансакцій на внутрішньому ринку, що скасовує Директиву 1999/93/ЄС Європейського Парламенту та Ради [12]. На сьогодні в Україні існує лише технічний переклад Регламенту (ЄС) № 910/2014 від 23.07.2014 [13], що саме по собі, напевно, не повною мірою сприяє поставленому завданню імплементації.

Регулюванню контрольної діяльності у сфері надання послуг ЕЦП в Регламенті 910 присвячено Секцію 2 «Нагляд». Організаційні аспекти контролю розглядаються у статті 17 «Наглядовий орган». Відповідно до п.1 вказаної статті держави-члени повинні призначити наглядовий орган, заснований на їх території або, за взаємною домовленістю з іншою державою-членом, наглядовий орган, заснований в цій іншій державі-члені, повинен бути відповідальним за наглядові завдання у вказаній державі-члені. Наглядовим органам повинні бути надані необхідні повноваження та відповідні ресурси для виконання їхніх завдань.

Спробуємо у загальних рисах оцінити контрольні повноваження передбачені Регламентом 910 порівняно з українським законодавством. Відповідно до п.3 статті 17 Регламенту 910 роль наглядового органу має бути такою:

(a) контроль кваліфікованих провайдерів довірчих послуг, заснованих на території визначеної держави-члена, шляхом прогнозування та наглядової діяльності, здійснюваної постфактум, для набуття впевненості, що провайдери та кваліфіковані довірчі послуги, які надаються ними, відповідають вимогам, викладеним в цьому Регламенті;

(b) вжиття заходів, у разі потреби, по відношенню до некваліфікованих провайдерів довірчих послуг, заснованих на території визначеної держави-члена, шляхом наглядової діяльності, здійснюваної постфактум, після отримання інформації про те, що провайдери та довірчі послуги, які надаються ними, можливо не відповідають вимогам, викладеним в цьому Регламенті.

Висновки. Підсумовуючи, варто звернути увагу на відмінність у підходах щодо організації контролю у сфері електронного цифрового підпису в Європейському Союзі та в Україні. В ЄС ця діяльність має постфактумний, а отже фактично, вибірковий характер. В Україні – це традиційна планова, повномасштабна контрольно-перевірочна система. Як відомо, супутніми характерними ознаками таких систем є громіздкість, затратність та корупціогенність. Звичайно, враховуючи пострадянські риси правового нігілізму в Україні, система контролю тут, імовірно, має бути більш жорсткою. Однак це не виключає поступового руху у напрямі спрощення та підвищення ефективності контрольних процедур.

Слід відзначити, що в Україні є розуміння необхідності змін у системі державного контролю. Як ознаку цього можна розглядати Закон України «Про тимчасові особливості здійснення заходів державного нагляду (контролю) у сфері господарської діяльності» [14]. Законом встановлюється до 31 грудня 2017 року мораторій на проведення органами державного нагляду (контролю) планових заходів із здійснення державного нагляду (контролю) у сфері господарської діяльності та визначається спрощений перелік підстав для позапланових заходів державного нагляду (контролю). Водночас Кабінету Міністрів України доручається у шестимісячний строк з дня набрання чинності цим Законом розробити і затвердити стратегію та програму реформування системи державного нагляду (контролю), зокрема в частині перегляду контрольних функцій держави з метою їх оптимізації та відповідного скорочення кількості органів державного нагляду (контролю) і чисельності їх працівників.

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ:

1.  Див., напр.: Постанова Окружного адміністративного суду м. Києва по справі № 2а-3869/10/2670 від 26.05.2010р. // Єдиний державний реєстр судових рішень. – [Електронний ресурс]. – Режим доступу: http://reyestr.court.gov.ua/Review/10667200

2. Про електронний цифровий підпис: закон України від 22.05.2003 № 852-IV // Офіційний сайт ВРУ. – [Електронний ресурс]. – Режим доступу: http://zakon0.rada.gov.ua/laws/show/852-15

3. Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України: Постанова КМУ від 3 вересня 2014 р. № 411 // Офіційний сайт ВРУ. – [Електронний ресурс]. – Режим доступу: http://zakon2.rada.gov.ua/laws/show/411-2014-%D0%BF

4. Про ліцензування видів господарської діяльності: закон України від 02.03.2015 № 222-VIII // Офіційний сайт ВРУ. – [Електронний ресурс]. – Режим доступу: http://zakon3.rada.gov.ua/laws/show/222-19

5.  Про основні засади державного нагляду (контролю) у сфері господарської діяльності: закон України від 05.04.2007 № 877-V // Офіційний сайт ВРУ. – [Електронний ресурс]. – Режим доступу: http://zakon3.rada.gov.ua/laws/show/877-16

6. Про Державну службу спеціального зв’язку та захисту інформації України: закон України від 23.02.2006 № 3475-IV // Офіційний сайт ВРУ. – [Електронний ресурс]. – Режим доступу: http://zakon3.rada.gov.ua/laws/show/3475-15

7. Критерії, за якими оцінюється ступінь ризику від провадження господарської діяльності у сфері послуг електронного цифрового підпису і визначається періодичність проведення планових заходів державного нагляду (контролю) Адміністрацією Державної служби спеціального зв’язку та захисту інформації: Постанова КМУ від 13 серпня 2014 р. № 329 // Офіційний сайт ВРУ. – [Електронний ресурс]. – Режим доступу: http://zakon3.rada.gov.ua/laws/show/329-2014-%D0%BF

8.  Положення про порядок здійснення державного контролю за додержанням вимог законодавства у сфері електронного цифрового підпису: Наказ Адміністрації Держспецзв’язку від 24.07.2007 № 143 // Офіційний сайт ВРУ. – [Електронний ресурс]. – Режим доступу: http://zakon3.rada.gov.ua/laws/show/z0914-07

9. План здійснення Адміністрацією Державної служби спеціального зв’язку та захисту інформації України державного нагляду (контролю) суб’єктів правових відносин у сфері послуг електронного цифрового підпису на 2017 рік // Офіційний веб-сайт ДССЗЗІ. – [Електронний ресурс]. – Режим доступу: http://www.dsszzi.gov.ua/dsszzi/control/uk/publish/article;jsessionid=70835CAFC2F69712EB006431B29DB8FC.app1?art_id=267376&cat_id=117920

10. Угода про асоціацію між Україною, з однієї сторони, та Європейським Союзом, Європейським співтовариством з атомної енергії і їхніми державами-членами, з іншої сторони: Угода від 27.06.2014р. // Офіційний сайт ВРУ. – [Електронний ресурс]. – Режим доступу: http://zakon5.rada.gov.ua/laws/show/984_011

11. Про імплементацію Угоди про асоціацію між Україною, з однієї сторони, та Європейським Союзом, Європейським Співтовариством з атомної енергії і їхніми державами-членами, з іншої сторони : Розпорядження КМУ від 17.09.2014 № 847-р // Офіційний сайт ВРУ. – [Електронний ресурс]. – Режим доступу: http://zakon5.rada.gov.ua/laws/show/847-2014-р

12. Regulation (EU) no 910/2014 of the European parliament and of the council of 23 July 2014 // EUR-Lex Access to European Union law. – [Електронний ресурс]. – Режим доступу: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG

13.Технічний переклад Регламенту (ЄС) № 910/2014 від 23.07.2014. // Офіційний веб-сайт. – Центральний засвідчувальний орган. – Міністерство юстиції України. – [Електронний ресурс]. – Режим доступу: https://czo.gov.ua/news-details?id=244

14. Про тимчасові особливості здійснення заходів державного нагляду (контролю) у сфері господарської діяльності: закон України 03.11.2016 № 1728-VIII // Офіційний сайт ВРУ. – [Електронний ресурс]. – Режим доступу: http://zakon2.rada.gov.ua/laws/show/1728-19