Регламент Европейского Парламента и Совета Европейского Союза 910/2014 от 23.07.2014 об электронной идентификации и удостоверительных сервисах для электронных трансакций на внутреннем рынке и об отмене Директивы 1999/93/ЕС

Регламент Европейского Парламента и Совета Европейского Союза
910/2014 от 23 июля 2014 г.
об электронной идентификации и удостоверительных сервисах для электронных трансакций на внутреннем рынке и об отмене Директивы 1999/93/ЕС*(1)

Европейский Парламент и Совет Европейского Союза,

Руководствуясь Договором о функционировании Европейского Союза, и, в частности, Статьей 114 указанного Договора,

Учитывая предложение Европейской Комиссии,

После передачи проекта законодательного акта национальным парламентам,

Учитывая заключение Европейского комитета по экономическим и социальным вопросам*(2),

Действуя в соответствии с обычной законодательной процедурой*(3),

Принимая во внимание следующие обстоятельства:

(1) Укрепление доверия к электронной среде является ключевым для экономического и социального развития. Отсутствие доверия, в частности, по причине восприятия юридического регулирования как недостаточно однозначного, заставляет потребителей, бизнес-сообщество и государственные органы неохотно осуществлять электронные трансакции и пользоваться новыми услугами.

(2) Целью настоящего Регламента является повышение доверия к электронным трансакциям на внутреннем рынке путем создания общих основ для безопасного электронного взаимодействия между гражданами, бизнес-сообществом и государственными органами и повышения, таким образом, эффективности государственных и частных онлайн-услуг, электронного бизнеса и электронной торговли в ЕС.

(3) Директива 1999/93/ЕС Европейского Парламента и Совета ЕС*(4) распространялась на электронные подписи, однако не устанавливала широкую систему трансграничных межотраслевых правил для безопасного, надежного и простого осуществления электронных трансакций. Настоящий Регламент укрепляет и расширяет достижения указанной Директивы.

(4) В сообщении Европейской Комиссии от 26 августа 2010 г. "Цифровая повестка дня для Европы" говорится о раздробленности цифрового рынка, отсутствии функциональной совместимости и росте киберпреступности как основных препятствиях для эффективного функционирования цифровой экономики. В Отчете о европейском гражданстве 2010 г. Европейской Комиссии "Устранение препятствий для осуществления своих прав гражданами ЕС" указывается на необходимость устранения основных проблем, препятствующих использованию гражданами ЕС преимуществ единого цифрового рынка и трансграничных цифровых услуг.

(5) В своих заключениях от 4 февраля 2011 г. и от 23 октября 2011 г. Европейский Совет поручил Европейской Комиссии создать единый цифровой рынок к 2015 г., обеспечить быстрое развитие ключевых областей цифровой экономики, а также способствовать созданию полностью интегрированного единого цифрового рынка, облегчив трансграничное использование цифровых услуг и уделив при этом особое внимание развитию безопасной электронной идентификации и авторизации.

(6) В своих заключениях от 27 мая 2011 г. Совет ЕС поручил Европейской Комиссии способствовать развитию единого цифрового рынка, создав надлежащие условия для взаимного признания в разных странах ключевых инструментов, таких как электронная идентификация, электронные документы, электронные подписи, службы электронной доставки, и для развития функционально совместимых электронных государственных услуг на территории ЕС.

(7) Европейский Парламент в своей резолюции от 21 сентября 2010 г. о завершении создания внутреннего рынка электронной торговли*(5) подчеркнул важность обеспечения безопасности электронных услуг, особенно электронных подписей, и необходимость создания государственной основной инфраструктуры на панъевропейском уровне, а также поручил Европейской Комиссии создать европейский сетевой шлюз для органов, осуществляющих проверку подлинности (European validation authorities gateway), чтобы обеспечить трансграничную функциональную совместимость электронных подписей и повысить безопасность трансакций, которые осуществляются с использованием сети Интернет.

(8) Директива 2006/123/ЕС Европейского Парламента и Совета ЕС*(6) предусматривает создание государствами-членами ЕС "пунктов одного контакта" (PSCs) с целью обеспечения возможности завершения всех процедур и формальностей, связанных с доступом к услуге и предоставлением услуги, с легкостью, дистанционно и с помощью электронных средств через соответствующий пункт одного контакта компетентных органов. Многие онлайн-услуги, доступные через пункт одного контакта, требуют прохождения электронной идентификации и авторизации, а также проставления электронной подписи.

(9) В большинстве случаев граждане не могут использовать свои средства электронной идентификации для авторизации в другом государстве-члене ЕС, потому что национальные системы электронной идентификации их стран не признаются в других государствах-членах ЕС. Такой электронный барьер препятствует использованию поставщиками услуг всех преимуществ внутреннего рынка. Взаимное признание средств электронной идентификации облегчит трансграничное предоставление ряда услуг на внутреннем рынке и позволит предприятиям вести бизнес на трансграничной основе без необходимости преодоления многочисленных препятствий при взаимодействии с государственными органами.

(10) Директива 2011/24/ЕС Европейского Парламента и Совета ЕС*(7) создала сеть национальных органов, отвечающих за электронные услуги в области здравоохранения. Для повышения безопасности и обеспечения бесперебойного функционирования трансграничного медицинского обслуживания такие органы должны разработать инструкции в области трансграничного доступа к электронным данным и услугам в области здравоохранения, в том числе поддерживая "общие меры идентификации и авторизации для облегчения передачи данных в рамках трансграничного медицинского обслуживания". Взаимное признание электронной идентификации и авторизации является ключевым для реализации на практике доступного гражданам ЕС трансграничного медицинского обслуживания. При поездках граждан за границу с целью лечения их медицинские данные должны быть доступны в стране, в которой осуществляется лечение. Для этого необходимо создание надежной, безопасной и заслуживающей доверия системы электронной идентификации.

(11) Настоящий Регламент должен применяться в полном соответствии с принципами защиты персональных данных, установленными Директивой 95/46/ЕС Европейского Парламента и Совета ЕС*(8). Ввиду сказанного и с учетом принципа взаимного признания, установленного настоящим Регламентом, авторизация для получения онлайн-услуги должна предусматривать предоставление только таких идентификационных данных, которые являются необходимыми, релевантными и пропорциональными для предоставления доступа к соответствующей услуге онлайн. Кроме того, установленные Директивой 95/46/ЕС требования в области конфиденциальности и безопасности при обработке данных должны соблюдаться поставщиками удостоверительных сервисов и надзорными органами.

(12) Одной из задач настоящего Регламента является устранение существующих барьеров для трансграничного использования электронных средств идентификации, применяющихся в государствах-членах ЕС для авторизации как минимум в отношении государственных услуг. Целью настоящего Регламента не является вмешательство в электронные системы управления удостоверительной информацией и связанными инфраструктурами, существующими в государствах-членах ЕС. Целью настоящего Регламента является обеспечение наличия безопасной электронной идентификации и авторизации для получения доступа к трансграничным онлайн-услугам, которые предлагаются государствами-членами ЕС.

(13) Государства-члены ЕС должны по-прежнему иметь возможность использовать и устанавливать средства для целей электронной идентификации для доступа к онлайн-услугам. Они также должны иметь возможность принимать решение о привлечении частного сектора к предоставлению таких средств. Государства-члены ЕС не должны быть обязаны уведомлять Европейскую Комиссию о своих системах электронной идентификации. Государства-члены ЕС должны иметь возможность самостоятельно принимать решение, уведомлять ли Европейскую Комиссию или нет о каких-либо или обо всех системах электронной идентификации, которые используются на национальном уровне для получения доступа как минимум к государственным онлайн-услугам или конкретным услугам.

(14) В настоящем Регламенте следует определить некоторые условия в отношении того, какие средства электронной идентификации должны признаваться и каким образом должно производиться уведомление о системах электронной идентификации. Такие условия должны помочь государствам-членам ЕС создать необходимое доверие к системам электронной идентификации друг друга, а также взаимно признать средства электронной идентификации в рамках систем, о которых было предоставлено уведомление. Принцип взаимного признания должен применяться в том случае, если система электронной идентификации государства-члена ЕС, предоставившего уведомление, соответствует требованиям уведомления и уведомление было опубликовано в Официальном Журнале Европейского Союза. При этом, однако, принцип взаимного признания должен применяться только в отношении авторизации для доступа к онлайн-услуге. Доступ к соответствующим онлайн-услугам и их окончательное предоставление заявителю должны быть поставлены в прямую зависимость от права на получение соответствующей услуги согласно национальному законодательству.

(15) Обязательства признавать средства электронной идентификации должны распространяться только на средства, уровень безопасности при подтверждении удостоверительной информации которых соответствует или превосходит уровень, необходимый для предоставления соответствующих онлайн-услуг. Кроме того, такие обязательства должны исполняться только в том случае, когда соответствующее государственное учреждение использует уровень безопасности "существенный" или "высокий" в отношении доступа к конкретной онлайн-услуге. Государства-члены ЕС должны иметь возможность признавать средства электронной идентификации с более низким уровнем безопасности подтверждения удостоверительных данных в соответствии с законодательством ЕС.

(16) Уровни безопасности должны отражать степень уверенности при установлении личности человека с помощью средств электронной идентификации, предоставляя таким образом гарантию того, что лицо, использующее определенные идентификационные данные, на самом деле является лицом, для идентификации которого они были созданы. Уровень безопасности зависит от степени уверенности, которую средство электронной идентификации может предоставить в отношении идентификации личности, с учетом применяющихся процессов (например, проверка и верификация личности, авторизация), процессов управления (например, лицо, выдающее средство электронной идентификации и процедура выдачи такого средства) и технических контролей. Различные технические определения и описания уровней безопасности были приняты в результате проводившихся при поддержке ЕС масштабных пилотных проектов (Large-Scale Pilots), инициатив в области стандартизации и международной деятельности. В частности, в рамках Масштабного пилотного проекта STORK и ISO 29115 установлены, inter alia, уровни безопасности 2, 3 и 4, которые необходимо в первую очередь учитывать при установлении минимальных требований, стандартов и процедур для уровней безопасности "низкий", "существенный" и "высокий" в рамках настоящего Регламента, обеспечивая при этом единообразное применение настоящего Регламента, в частности, в отношении уровня безопасности "высокий" при проверке идентификационных данных для выдачи квалифицированных сертификатов. Установленные требования должны быть технологически нейтральными. Должна существовать возможность обеспечения соблюдения необходимых требований безопасности путем применения различных технологий.

(17) Государства-члены ЕС должны поощрять добровольное использование частным сектором средств электронной идентификации в рамках системы, в отношении которой было предоставлено уведомление, для целей идентификации, когда такая идентификация нужна для онлайн-услуг или электронных трансакций. Возможность использования таких средств электронной идентификации позволит частному сектору использовать средства электронной идентификации и авторизации, которые уже получили широкое применение в государствах-членах ЕС, по крайней мере в отношении государственных услуг, а также облегчит доступ к необходимым онлайн-услугам за границей бизнес-сообществу и гражданам. Чтобы облегчить трансграничное использование таких средств электронной идентификации частным сектором, возможности авторизации, предоставляемые любым государством-членом ЕС, должны быть доступны полагающимся сторонам частного сектора, учрежденным за пределами такого государства-члена ЕС, на тех же условиях, что и полагающимся сторонам частного сектора, учрежденным на территории такого государства-члена ЕС. Соответственно, в отношении полагающихся сторон частного сектора уведомляющее государство-член ЕС может определить условия доступа к средствам авторизации. Такие условия доступа могут содержать информацию о доступности в данный конкретный момент средств авторизации, связанных с системой, о которой предоставляется уведомление, для полагающихся сторон частного сектора.

(18) Настоящий Регламент должен предусматривать ответственность уведомляющего государства-члена ЕС, стороны, выдающей средство электронной идентификации и стороны, обеспечивающей функционирование процедуры авторизации, за несоблюдение соответствующих обязательств, установленных настоящим Регламентом. Однако настоящий Регламент должен применяться в соответствии с положениями национального законодательства об ответственности, поэтому он не затрагивает такие национальные правила, как, например, определение убытков, или применимые процессуальные правила, в том числе распределение обязанности доказывания.

(19) Безопасность систем электронной идентификации имеет ключевое значение для обеспечения доверия и взаимного признания средств электронной идентификации. С учетом сказанного государства-члены ЕС должны сотрудничать для обеспечения безопасности и функциональной совместимости систем электронной идентификации на уровне ЕС. Если системы электронной идентификации требуют использования полагающимися сторонами на национальном уровне конкретного программного обеспечения или оборудования, требование трансграничной функциональной совместимости подразумевает, что государства-члены ЕС не должны устанавливать такие требования и возлагать соответствующие расходы на полагающиеся стороны, учрежденные за пределами их территории. В таких случаях должны обсуждаться и разрабатываться надлежащие решения в рамках системы обеспечения функциональной совместимости. Вместе с тем технические требования, связанные с техническими спецификациями национальных средств электронной идентификации, в любом случае могут оказывать влияние на держателей таких средств (например, смарт-карты).

(20) Сотрудничество между государствами-членами ЕС должно способствовать обеспечению технической функциональной совместимости систем электронной идентификации, о которых было предоставлено уведомление, с целью установления доверия и высокого уровня безопасности, соответствующих степени риска. Обмен информацией и лучшими практиками между государствами-членами ЕС с целью обеспечения взаимного признания должны помочь такому сотрудничеству.

(21) Настоящий Регламент должен также создавать общую систему правового регулирования в области использования удостоверительных сервисов. Однако Регламент не должен устанавливать общее обязательство по использованию таких сервисов или по созданию точки доступа для всех существующих удостоверительных сервисов. В частности, он не должен затрагивать предоставление сервисов, которые используются исключительно в рамках закрытых систем между ограниченным числом участников и не затрагивают третьи стороны. Например, требования настоящего Регламента не должны распространяться на системы, созданные в бизнес-организациях и государственных органах для управления внутренними процедурами и использующие удостоверительные сервисы. Требования настоящего Регламента должны распространяться только на удостоверительные сервисы, предоставляемые неограниченному числу пользователей и оказывающие влияние на третьи стороны. Кроме того, настоящий Регламент не должен затрагивать вопросы заключения и действительности договоров или иные юридические обязательства в тех случаях, когда национальным или европейским законодательством установлены требования к форме сделки. Настоящий Регламент также не должен затрагивать национальные требования относительно формы, установленные в отношении государственных реестров, в частности, торгового и земельного.

(22) С целью расширения трансграничного использования удостоверительных сервисов следует обеспечить возможность их использования в качестве доказательств в судебных разбирательствах во всех государствах-членах ЕС. Юридическое значение удостоверительных сервисов устанавливается национальным законодательством, за исключением условий, оговоренных в настоящем Регламенте.

(23) Когда настоящий Регламент устанавливает обязательство по признанию удостоверительного сервиса, в его признании может быть отказано только в случае невозможности его прочтения или проверки лицом, на которое возлагается такое обязательство, по техническим причинам, находящимся вне непосредственного контроля такого обязанного лица. Однако такое обязательство не должно само по себе трактоваться как обязательство государственного органа по приобретению оборудования и программного обеспечения, необходимого для обеспечения технической возможности прочтения всех удостоверительных сервисов.

(24) Государства-члены ЕС могут сохранять или принимать законодательные положения на национальном уровне в соответствии с законодательством ЕС в отношении удостоверительных сервисов, постольку поскольку настоящий Регламент не обеспечивает их полную гармонизацию. Однако удостоверительные сервисы, соответствующие требованиям настоящего Регламента, должны свободно обращаться на внутреннем рынке.

(25) Государства-члены ЕС должны иметь возможность определять другие типы удостоверительных сервисов в дополнение к закрытому списку в настоящем Регламенте, с целью признания их на национальном уровне квалифицированными удостоверительными сервисами.

(26) Учитывая скорость развития технологий, настоящий Регламент должен устанавливать принцип открытости для инноваций.

(27) Настоящий Регламент должен быть нейтральным с точки зрения технологии. Должна иметься возможность достичь установленные в нем юридические последствия с помощью любых технологических средств при условии соблюдения требований настоящего Регламента.

(28) Для повышения доверия к внутреннему рынку, в первую очередь, со стороны малых и средних предприятий (SME) и потребителей, а также для распространения удостоверительных сервисов и продуктов, необходимо разработать понятие квалифицированных удостоверительных сервисов и квалифицированных поставщиков удостоверительных сервисов, с тем чтобы установить требования и обязательства для обеспечения высокого уровня безопасности любых используемых или предоставляемых квалифицированных удостоверительных сервисов или продуктов.

(29) В соответствии с Конвенцией ООН о правах инвалидов, утвержденной Решением 2010/48/ЕС*(9) Совета ЕС, и, в частности, Статьей 9 указанной Конвенции, лица с ограниченными возможностями должны иметь возможность использовать удостоверительные сервисы и предназначенные для конечных пользователей продукты, использующиеся для предоставления таких сервисов, наравне с другими пользователями. В связи с этим, когда это осуществимо, удостоверительные сервисы и предназначенные для конечных пользователей продукты, использующиеся для предоставления таких сервисов, должны быть доступны лицам с ограниченными возможностями. Оценка осуществимости должна inter alia включать техническое и экономическое обоснование.

(30) Государства-члены ЕС должны назначить надзорный орган или надзорные органы для осуществления надзорной деятельности в соответствии с настоящим Регламентом. Кроме того, государство-член ЕС может принять решение, по согласованию с другим государством-членом, о назначении надзорного органа на территории последнего.

(31) Надзорные органы должны сотрудничать с органами, осуществляющими защиту персональных данных, например, информируя их о результатах проверок поставщиков удостоверительных сервисов, когда есть подозрения в нарушении правил защиты персональных данных. Требования о предоставлении информации, в частности, распространяется на инциденты в области безопасности и нарушения правил обработки персональных данных.

(32) Все поставщики удостоверительных сервисов должны быть обязаны применять надлежащие практики обеспечения безопасности для укрепления доверия пользователей к общему рынку с учетом связанных с их деятельностью рисков.

(33) Положения об использовании псевдонимов в сертификатах не должно препятствовать возможности государств-членов ЕС устанавливать требования об идентификации лиц в соответствии с национальным или европейским законодательством.

(34) Все государства-члены ЕС должны установить общие основные требования безопасности для обеспечения сопоставимого уровня безопасности квалифицированных удостоверительных сервисов. Чтобы облегчить последовательное применение таких требований на территории ЕС, государства-члены ЕС должны установить сопоставимые процедуры и обмениваться информацией о надзорной деятельности и лучших практиках в этой области.

(35) Требования настоящего Регламента, в частности, требования в области безопасности и ответственности, должны распространяться на всех поставщиков удостоверительных сервисов для обеспечения должной добросовестности, прозрачности и контролируемости их операций и сервисов. Однако, учитывая тип сервисов, предоставляемых поставщиками удостоверительных сервисов, следует провести различия между поставщиками удостоверительных сервисов и квалифицированными поставщиками удостоверительных сервисов для целей установления таких требований.

(36) Установление режима контроля для всех поставщиков удостоверительных сервисов должно создать равные условия для обеспечения безопасности и контролируемости их операций и сервисов, что будет способствовать защите пользователей и лучшему функционированию внутреннего рынка. Надзор за деятельностью неквалифицированных поставщиков удостоверительных сервисов должен быть менее жестким и должен предусматривать последовательный ex post контроль в соответствии с характером их сервисов и операций. Таким образом, надзорный орган не должен иметь общего обязательства по осуществлению надзора за деятельностью неквалифицированных поставщиков удостоверительных сервисов. Надзорный орган должен принимать меры только в случае получения информации (например, от самого неквалифицированного поставщика удостоверительных сервисов, другого надзорного органа, пользователя или бизнес-партнера, либо в результате собственного расследования) о несоответствии неквалифицированного поставщика удостоверительных сервисов требованиям настоящего Регламента.

(37) Настоящий Регламент должен устанавливать ответственность для всех поставщиков удостоверительных сервисов. В частности, Регламент устанавливает режим ответственности, согласно которому все поставщики удостоверительных сервисов несут ответственность за ущерб, нанесенный любому физическому или юридическому лицу в связи с несоблюдением требований настоящего Регламента. Чтобы облегчить оценку финансовых рисков, которые могут нести поставщики удостоверительных сервисов или которые им следует застраховать, настоящий Регламент позволяет поставщикам удостоверительных сервисов при определенных условиях устанавливать ограничения на использование предоставляемых ими сервисов и не нести ответственность за ущерб, вызванный использованием их сервисов с нарушением таких ограничений. Потребители должны быть заранее должным образом проинформированы о таких ограничениях. Необходимо подтверждение третьей стороны о том, что она была проинформирована о таких ограничениях, например, путем включения информации о таких ограничениях в условия предоставления сервиса или иным понятным способом. Для целей придания юридической силы настоящим положениям настоящий Регламент должен применяться в соответствии с национальным законодательством об ответственности. Соответственно, настоящий Регламент не затрагивает национальные положения, устанавливающие, например, определение убытков, намерения, неосторожности или применимые процессуальные правила.

(38) Уведомление о нарушениях в области безопасности и оценки рисков безопасности имеет существенное значение для предоставления адекватной информации заинтересованным сторонам в случае нарушения безопасности или целостности.

(39) Чтобы Европейская Комиссия и государства-члены ЕС могли оценить эффективность механизма уведомления, установленного настоящим Регламентом, следует предусмотреть предоставление надзорными органами сводных данных Европейской Комиссии и Европейскому агентству по сетевой и информационной безопасности (ENISA).

(40) Чтобы Европейская Комиссия и государства-члены ЕС могли оценить эффективность механизма усиленного надзора, установленного настоящим Регламентом, следует предусмотреть представление надзорными органами отчета о своей деятельности. Это имеет ключевое значение для упрощения обмена хорошими практиками между надзорными органами, а также для проверки последовательной и эффективной имплементации основных требований в области надзора во всех государствах-членах ЕС.

(41) Для обеспечения надежности и бесперебойного предоставления квалифицированных удостоверительных сервисов и повышения уверенности пользователей в надежности квалифицированных удостоверительных сервисов, надлежащим органам следует проверять наличие и точное исполнение планов прекращения деятельности, если квалифицированные поставщики удостоверительных сервисов прекращают свою деятельность.

(42) Для упрощения осуществления надзора за деятельностью поставщиков квалифицированных сервисов, например, в случаях, когда поставщик осуществляет свою деятельность на территории другого государства-члена ЕС, где в отношении него не осуществляется надзор, либо когда компьютерные системы поставщика расположены в ином государстве-члене ЕС нежели государство, в котором поставщик был учрежден, следует создать систему взаимопомощи между надзорными органами государств-членов ЕС.

(43) Для обеспечения соответствия квалифицированными поставщиками удостоверительных сервисов и предоставляемых ими сервисов требованиям настоящего Регламента, соответствующим органам следует проводить оценку соответствия, а отчеты о проведении оценки соответствия должны представляться квалифицированным поставщиком удостоверительных услуг надзорному органу. Если надзорный орган запрашивает представление дополнительного отчета о проведении оценки соответствия у квалифицированного поставщика удостоверительных сервисов, надзорный орган должен соблюдать принципы надлежащего управления, в том числе обязанность по представлению обоснования для своих решений, а также принцип пропорциональности. Соответственно, надзорный орган должен надлежащим образом обосновывать свое решение о запросе дополнительного отчета о проведении оценки соответствия.

(44) Целью настоящего Регламента является создание понятной системы правил для обеспечения высокого уровня безопасности и юридической однозначности правоотношений в области удостоверительных сервисов. Учитывая сказанное, в отношении оценки соответствия продуктов и сервисов Европейская Комиссия должна стремиться обеспечить координацию с уже существующими соответствующими европейскими и международными системами, например, Регламентом (ЕС) 765/2008 Европейского Парламента и Совета ЕС*(10), устанавливающим требования аккредитации осуществляющих оценку соответствия органов и надзора за обращением продуктов на рынке..

(45) Чтобы обеспечить эффективность процесса имплементации, который должен привести к включению поставщиков удостоверительных сервисов и предоставляемые ими сервисы в списки квалифицированных поставщиков, следует поощрять взаимодействие между потенциальными квалифицированными поставщиками удостоверительных сервисов и компетентным надзорным органом с целью облегчения проведения проверок, необходимых для предоставления квалифицированных удостоверительных сервисов.

(46) Списки квалифицированных поставщиков являются важным инструментом создания доверия среди операторов на рынке, поскольку они подтверждают квалифицированный статус поставщика удостоверительных сервисов на момент осуществления надзора.

(47) Доверие к онлайн-сервисам и удобство их использования являются существенными условиями для того, чтобы пользователи в полной мере могли использовать преимущества электронных услуг и сознательно полагаться на электронные сервисы. С этой целью необходимо разработать знак доверия ЕС для обозначения квалифицированных удостоверительных сервисов, предоставляемых квалифицированными поставщиками удостоверительных сервисов. Такой знак доверия ЕС для квалифицированных удостоверительных сервисов позволил бы четко отличать квалифицированные удостоверительные сервисы от обычных, что способствовало бы развитию прозрачности рынка. Использование квалифицированными поставщиками удостоверительных сервисов такого знака доверия должно быть добровольным и не должно создавать каких-либо дополнительных обязательств, помимо установленных настоящим Регламентом.

(48) Несмотря на то, что в определенных случаях, например, в контексте Решения 2009/767/ЕС*(11) Европейской Комиссии, необходимо обеспечить высокий уровень безопасности для обеспечения взаимного признания электронных подписей, следует обеспечить возможность признания также электронных подписей с менее высоким уровнем безопасности.

(49) Настоящий Регламент должен установить следующий принцип: юридические последствия использования электронной подписи не могут отрицаться только на том основании, что использовалась подпись в электронной форме или что такая подпись не соответствует требованиям квалифицированной электронной подписи. Вместе с тем юридические последствия использования электронной подписи должны определяться национальным законодательством, за исключением требования настоящего Регламента о том, что применение квалифицированной электронной подписи должно иметь те же юридические последствия, что и собственноручная подпись.

(50) Поскольку компетентные органы государств-членов ЕС в настоящее время используют различные форматы усиленной ЭЦП для подписи электронных документов, необходимо обеспечить поддержку государством-членом ЕС как минимум нескольких форматов усиленной ЭЦП при получении документов с электронной подписью. Точно так же при использовании компетентными органами государств-членов ЕС усиленных электронных печатей необходимо обеспечить техническую поддержку ими как минимум нескольких форматов усиленных электронных печатей.

(51) Подписант должен иметь возможность передавать устройство создания квалифицированной электронной подписи на хранение третьему лицу, при условии наличия надлежащих механизмов и процедур, которые обеспечивают наличие контроля за использованием такого устройства только у подписанта, а также соответствия его использования требованиям квалифицированной электронной подписи.

(52) Использование удаленных ЭЦП, когда поставщик удостоверительных сервисов управляет средой создания ЭЦП от имени подписанта, становится постепенно все более распространенным, учитывая соответствующие значительные экономические преимущества. Вместе с тем, чтобы обеспечить юридическое признание таких ЭЦП наравне с ЭЦП, создаваемыми в среде, полностью контролируемой пользователем, необходимо применение поставщиками сервисов по созданию удаленных ЭЦП дополнительных управленческих и административных мер безопасности, а также использование ими надежных систем и продуктов, в том числе безопасных каналов электронной связи, чтобы гарантировать надежность среды создания ЭЦП и использование ЭЦП под исключительным контролем подписанта. При создании квалифицированной ЭЦП с использованием устройства создания удаленной ЭЦП должны применяться требования настоящего Регламента к квалифицированным поставщикам удостоверительных сервисов.

(53) Распространенной практикой в некоторых государствах-членах ЕС в отношении поставщиков удостоверительных сервисов является приостановление действия квалифицированных сертификатов. Приостановление отличается от отзыва сертификата, поскольку влечет временную недействительность сертификата. Для обеспечения юридической ясности статус приостановления действия сертификата должен быть четко обозначен. В связи с этим поставщики удостоверительных сервисов должны быть обязаны указывать статус своего сертификата, а в случае приостановления действия сертификата - также точный период такого приостановления. Настоящий Регламент не должен обязывать государства-члены ЕС вводить статус временного приостановления действия сертификатов, однако должен обеспечивать наличие правил, обеспечивающих прозрачность использования такого статуса, в тех случаях, когда такая практика существует и применяется.

(54) Необходимым условием трансграничного признания квалифицированных ЭЦП является функциональная совместимость и трансграничное признание квалифицированных сертификатов. Поэтому к квалифицированным сертификатам не должны предъявляться какие-либо дополнительные правила, помимо установленных в настоящем Регламенте. Вместе тем допускается включение в сертификаты на национальном уровне конкретных характеристик, например, уникальных идентификаторов, при условии, что это не мешает трансграничному функционированию и признанию квалифицированных сертификатов и ЭЦП.

(55) Сертификация в области информационной безопасности на основании международных стандартов (таких как ISO 15408) и соответствующие методы оценки, а также процедуры взаимного признания являются важным инструментом для удостоверения безопасности устройств создания квалифицированных ЭЦП и должны поощряться. Вместе с тем новаторские решения и сервисы, например, мобильная подпись или облачная подпись, используют такие технические и организационные решения для устройств создания квалифицированной ЭЦП, для которых еще не были разработаны стандарты безопасности и в отношении которых еще только проходит первая сертификация в области информационной безопасности. Уровень безопасности таких устройств может оцениваться при использовании альтернативных процессов, но только в том случае, когда еще не были разработаны стандарты безопасности и проходит первая сертификация в области информационной безопасности. Указанные процессы должны быть сопоставимы со стандартами информационной безопасности, постольку поскольку их уровни безопасности эквивалентны. Облегчить указанные процессы может проведение экспертной проверки.

(56) Настоящий Регламент должен установить требования к устройствам создания квалифицированных ЭЦП для обеспечения функциональности усиленных ЭЦП. Настоящий Регламент не должен охватывать всю системную среду использования таких устройств. Таким образом, предмет сертификации устройств создания квалифицированных ЭЦП должен ограничиваться оборудованием и программным обеспечением, которые используются для управления данными, которые создаются, обрабатываются и хранятся устройством создания ЭЦП, и для защиты таких данных. Как прописано в соответствующих стандартах, требования сертификации не распространяются на приложения, использующиеся для создания ЭЦП.

(57) Для обеспечения юридической однозначности в отношении достоверности подписи, важно обозначить те компоненты квалифицированной ЭЦП, которые должна оценивать сторона, полагающаяся на ЭЦП, в рамках проверки ее подлинности. Кроме того, установление требований к квалифицированным поставщикам электронных сервисов, которые могут предоставлять услуги квалифицированной проверки подлинности для полагающейся на ЭЦП стороны, которая не желает или неспособна самостоятельно провести проверку квалифицированной ЭЦП, должно стимулировать инвестиции частного и публичного сектора в развитие таких сервисов. Оба указанных элемента должны обеспечить простоту и удобство проверки квалифицированной ЭЦП для всех сторон на уровне ЕС.

(58) Если условия какой-либо трансакции требуют использования юридическим лицом квалифицированной печати, использование уполномоченным представителем такого лица квалифицированной подписи также должно быть приемлемым.

(59) Электронная печать должна являться доказательством того, что данный документ исходит от конкретного юридического лица, обеспечивая таким образом доказательства происхождения и достоверности документа.

(60) Поставщики удостоверительных сервисов, использующие квалифицированные сертификаты для электронной печати, должны применять необходимые меры для установления личности физического лица - представителя юридического лица, которому предоставляется квалифицированный сертификат электронной печати, когда такая идентификация необходима на национальном уровне в рамках юридических или административных процедур.

(61) Настоящий Регламент должен обеспечить хранение информации в течение долгого времени, чтобы обеспечить действительность ЭЦП и электронных печатей в течение длительного срока и гарантировать возможность их подтверждения вне зависимости от технологических изменений в будущем.

(62) Для обеспечения надежности электронных отметок времени настоящий Регламент должен предусматривать обязательное использование усиленной ЭЦП или печати или аналогичного метода. Можно предположить, что развитие технологий сможет обеспечить эквивалентный уровень безопасности для электронных отметок времени. При использовании другого метода, нежели усиленная электронная подпись или печать, квалифицированные поставщики удостоверительных сервисов должны продемонстрировать в отчете о проведении оценки соответствия, что такой метод обеспечивает аналогичный уровень безопасности и соответствует требованиям настоящего Регламента.

(63) Использование электронных документов являются важным условием дальнейшего развития электронных трансакций на внутреннем рынке. Настоящий Регламент должен установить принцип, согласно которому юридические последствия электронного документа не должны отвергаться только на том основании, что документ составлен в электронной форме и что электронная трансакция не может считаться не осуществленной только из-за электронной формы соответствующего документа.

(64) В отношении форматов усиленных электронных подписей и печатей Европейская Комиссия должна основываться на существующих практиках, стандартах и законодательстве, в частности, Решении 2011/130/ЕС*(12) Европейской Комиссии.

(65) Помимо удостоверения документа, исходящего от юридического лица, электронная печать может использоваться для удостоверения любого цифрового актива такого лица, например, программного кода или серверов.

(66) Необходимо обеспечить правовой режим, который позволил бы облегчить трансграничное признание существующих национальных систем в области электронной доставки с подтверждением получения. Такой правовой режим может также открыть новые возможности на рынке для европейских квалифицированных поставщиков удостоверительных сервисов: создание новых общеевропейских сервисов электронной доставки информации с подтверждением получения.

(67) Сервисы аутентификации веб-сайтов позволяют посетителю веб-сайта убедиться, что данный веб-сайт принадлежит существующему и законному лицу. Такие сервисы способствуют установлению доверия и уверенности при осуществлении бизнес-операций онлайн, поскольку пользователи могут быть уверенными в надежности сайтов, прошедших аутентификацию. Предоставление и использование сервисов аутентификации веб-сайтов является полностью добровольным. Однако для того чтобы аутентификация веб-сайтов стала способом укрепления доверия, могла способствовать получению пользователями более качественных услуг и развитию внутреннего рынка, в настоящем Регламенте должны устанавливаться минимальные требования безопасности, а также обязательства поставщиков и требования к их сервисам. С этой целью были учтены существующие отраслевые инициативы, например Форум органов сертификации/браузеров - СА/В форум. Кроме того, настоящий Регламент не должен препятствовать использованию других средств аутентификации веб-сайта, которые не подпадают под действие настоящего Регламента, а также предоставлению поставщиками сервисов в области аутентификации в третьих странах своих услуг клиентам в ЕС. Однако сервисы аутентификации веб-сайтов поставщика третьей страны могут признаваться квалифицированными в соответствии с настоящим Регламентом только в том случае, если между ЕС и страной такого поставщика было заключено соответствующее соглашение.

(68) Понятие "юридического лица" в соответствии с положениями Договора о функционировании Европейского Союза (TFEU), предоставляет операторам свободу выбора организационно-правовой формы осуществления своей деятельности. Соответственно, "юридическое лицо" в значении Договора может означать любое лицо, созданное или действующее в соответствии с законодательством государства-члена ЕС, вне зависимости от организационно-правовой формы такого лица.

(69) Институтам, органам, учреждениями и агентствам ЕС рекомендуется признавать сервисы электронной идентификации и удостоверительные сервисы, являющиеся предметом настоящего Регламента, для целей административного сотрудничества, в частности, учитывая существующие надлежащие практики и результаты текущих проектов в областях, подпадающих под действие настоящего Регламента.

(70) Чтобы некоторые детальные аспекты технического регулирования настоящего Регламента могли быстро и просто дополняться, следует делегировать Европейской Комиссии в соответствии со статьей 290 Договора право принимать акты, устанавливающие критерии, которые должны соблюдаться лицами, осуществляющими сертификацию устройств создания квалифицированной ЭЦП. Особенно важно, чтобы в ходе предварительной работы Европейская Комиссия проводила консультации, в том числе на уровне экспертов. При подготовке и разработке актов делегированного законодательства Европейская Комиссия должна обеспечить одновременную, своевременную и надлежащую передачу соответствующих документов Европейскому Парламенту и Совету ЕС.

(71) Для обеспечения единообразных условий имплементации настоящего Регламента Европейской Комиссии должны быть переданы имплементационные полномочия, в частности, для указания регистрационных номеров стандартов, использование которых будет устанавливать презумпцию соблюдения определенных требований настоящего Регламента. Указанные полномочия должны осуществляться в соответствии с Регламентом (ЕС) 182/2011 Европейского Парламента и Совета ЕС*(13).

(72) При принятии актов делегированного законодательства и имплементационных актов Европейская Комиссия должна надлежащим образом учитывать стандарты и технические спецификации, разработанные европейскими и международными органами и организациями по сертификации, в частности, Европейским комитетом по стандартизации (CEN), Европейским институтом по вопросам телекоммуникационных стандартов (ETSI), Международной организацией по стандартизации (ISO) и Международным телекоммуникационным союзом (ITU), с целью обеспечения высокого уровня безопасности и совместимости сервисов электронной идентификации и удостоверительных сервисов.

(73) В целях правовой определенности и ясности Директива 1999/93/ЕС отменяется.

(74) Для обеспечения правовой определенности для операторов, использующих квалифицированные сертификаты, выданные физическим лицам в соответствии с Директивой 1999/93/ЕС, следует предусмотреть достаточно продолжительный переходный период. Аналогичным образом необходимо установить переходные меры для устройств создания безопасной ЭЦП, соответствующие требованиям Директивы 1999/93/ЕС, а также для поставщиков сертификационных услуг, выдающих квалифицированные сертификаты до 1 июля 2016 г. Наконец, необходимо обеспечить наличие у Европейской Комиссии средств для принятия имплементационных актов и актов делегированного законодательства до указанной даты.

(75) Даты вступления в силу, указанные в настоящем Регламенте, не затрагивают текущие обязательства государств-членов ЕС в соответствии с законодательством ЕС, в частности, Директивой 2006/123/ЕС.

(76) Поскольку цели настоящего Регламента не могут быть надлежащим образом достигнуты на уровне государств-членов ЕС и могут быть эффективнее достигнуты на уровне ЕС, ЕС может принимать меры в соответствии с принципом субсидиарности, как он закреплен в Статье 5 Договора о Европейском Союзе. В соответствии с принципом пропорциональности, как он закреплен в указанной Статье, настоящий Регламент не выходит за пределы того, что необходимо для достижения указанных целей.

(77) В соответствии со Статьей 28(2) Регламента (ЕС) 45/2001 Европейского Парламента и Совета ЕС*(14) были проведены консультации с Европейским инспектором по защите данных, который издал заключение 27 сентября 2012 г.*(15),

Приняли настоящий Регламент:

Настоящий Регламент является обязательным во всей своей полноте и непосредственно применяется во всех государствах-членах ЕС.

Совершено в Брюсселе 23 июля 2014 г.

От имени Европейского Парламент
Председатель
M. SCHULZ

От имени Совета ЕС
Председатель
S. GOZI

------------------------------

*(1) Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC. Опубликован в Официальном Журнале (далее - ОЖ) N L 257 28.8.2014, стр. 73.

*(2) ОЖ N С 351, 15.11.2012, стр. 73.

*(3) Заключение Европейского Парламента от 3 апреля 2014 г. (еще не опубликовано в ОЖ) и решение Совета ЕС от 23 июля 2014 г.

*(4) Директива 1999/93/ЕС Европейского Парламента и Совета ЕС от 13 декабря 1999 г. об общих правилах Сообщества в отношении электронных подписей (ОЖ N L 13, 19.1.2000, стр. 12).

*(5) ОЖ N С 50 Е, 21.2.2012, стр. 1.

*(6) Директива 2006/123/ЕС Европейского Парламента и Совета ЕС от 12 декабря 2006 г. об услугах на внутреннем рынке (ОЖ N L 376, 27.12.2006, стр. 36).

*(7) Директива 2011/24/ЕС Европейского Парламента и Совета ЕС от 9 марта 2011 г. о правах пациентов в трансграничном медицинском обслуживании (ОЖ N L 88, 4.4.2011, стр. 45).

*(8) Директива 95/46/ЕС Европейского Парламента и Совета ЕС от 24 октября 1995 г. о защите физических лиц в отношении обработки персональных данных и свободном обращении таких данных (ОЖ N L 281, 23.11.1995, стр. 31).

*(9) Решение 2010/48/ЕС Совета ЕС от 26 ноября 2009 г. о заключении Европейским Сообществом Конвенции ООН о правах инвалидов (ОЖ N L 23, 27.1.2010, стр. 35).

*(10) Регламент (ЕС) 765/2008 Европейского Парламента и Совета ЕС от 9 июля 2008 г., устанавливающий требования к аккредитации и надзору в отношении продукции, размещаемой на рынке, и отменяющий Регламент (ЕС) 339/93 (ОЖ N L 218, 13.8.2008, стр. 30).

*(11) Решение 2009/767/ЕС Европейской Комиссии от 16 октября 2009 г. о принятии мер для облегчения использования электронных средств через "пункты одного контакта" в соответствии с Директивой 2006/123/ЕС Европейского Парламента и Совета ЕС об услугах на внутреннем рынке (ОЖ N L 274, 20.10.2009, стр. 36).

*(12) Решение 2011/130/ЕС Европейской Комиссии от 25 февраля 2011 г. об установлении минимальных требований к трансграничной обработке подписанных в электронной форме документов компетентными органами в соответствии с Директивой 2006/123/ЕС Европейского Парламента и Совета ЕС об услугах на внутреннем рынке (ОЖ L N 53, 26,2,2011, стр. 66).

*(13) Регламент (ЕС) 182/2011 Европейского Парламента и Совета ЕС от 16 февраля 2011 г., устанавливающий правила и общие принципы относительно механизмов контроля государствами-членами ЕС выполнения Европейской Комиссией имплементационных полномочий (ОЖ N L 55 от 28.2.2011, стр. 13).

*(14) Регламент (ЕС) 45/20011 Европейского Парламента и Совета ЕС от 18 декабря 2000 г. о защите физических лиц в отношении обработки персональных данных институтами и органами Сообщества и о свободном обращении таких данных (ОЖ N L 8, 12.1.2001, стр. 1).

*(15) ОЖ N С, 30.1.2013, стр. 6.

*(16) Директива 2014/24/ЕС Европейского Парламента и Совета ЕС от 26 февраля 2014 г. о государственных закупках и отмене Директивы 2004/18/ЕС (ОЖ N L 94, 28.3..2014, стр. 65).