После публикации статьи Доска почёта ЭЦП — enpf-otbasy.kz, меня попросили дать комментарии по описываемой там ситуации. Ниже вопросы, заданные мне и, собственно, ответы.
Если будете использовать данные материалы в своих публикациях, пожалуйста, приведите ссылку на оригинал. Возможно, кому-то захочется ознакомиться с текстом в авторском варианте.
Я не могу знать, какой смысл вкладывает Председатель Правления Банка (здесь и далее под Банком понимается АО «Отбасы Банк») в словосочетание «технология XML», но файлы формата XML совершенно точно используются при подписании документов электронной цифровой подписью граждан на Платформе (здесь и далее под Платформой понимается интернет-ресурс, размещённый по адресу https://enpf-otbasy.kz/). И электронный документ также получается формата XML.
Напомню, согласно Закону Республики Казахстан «Об электронном документе и электронной цифровой подписи» (статья 1, подпункт 12): электронный документ — документ, в котором информация представлена в электронно-цифровой форме и удостоверена посредством электронной цифровой подписи.
Т.е., фактически, в случае с Платформой Банка, электронный документ — это не тот текст, который видит пользователь, а непонятный XML-файл, в котором нет ни ФИО пользователя, ни с чем он соглашается, ни вообще какого-либо человекочитаемого текста.
На сайте Платформы то, что видит пользователь и то, что он подписывает — два разных файла (по крайней мере, заявление о присоединении и соглашение об обработке персональных данных, т.к. я лично их подписывал и анализировал весь процесс подписания на своей стороне имеющимися у меня техническими средствами).
Детали, думаю, проще будет показать на картинках. Чёрным закрашены мои данные, которые я посчитал лишним выкладывать на всеобщее обозрение.
Любой человек, обладающий соответствующими специальными знаниями, может повторить это. Если же нет желания возиться с этим либо нет специальных знаний, достаточно просто попросить Банк предоставить ранее подписанные вами электронные документы для ознакомления. Пожалуй, я и сам запрошу. Любопытно, что Банк предоставит и предоставит ли вообще?
Важно понимать, собственно само подписание файла выполняется относительно корректно. Вопрос больше в том, что на подпись отправляется не тот файл, который нужно (который видят граждане). Т.е. тут вопрос больше в юридической плоскости нежели технической. Как это правильно юридически назвать, даже не знаю. Может быть подлог? Ну и, в итоге, по моему мнению, у Банка нет заявлений, согласий и т.п. в виде электронного документа, а есть какие-то непонятные электронные документы, сгенерированные Платформой и подписанные гражданами.
Соответственно, не понятно, на каких основаниях Банк оказывает услуги гражданам, хранит и обрабатывает их персональные данные?
Почему я выше сказал относительно корректно? Подписываемые документы, на мой взгляд, являются электронными документами долговременного хранения. А к таким документам Приказом Министра по инвестициям и развитию Республики Казахстан от 9 декабря 2015 года №1187 «Об утверждении Правил проверки подлинности электронной цифровой подписи» предъявляется дополнительное требование (пункт 6, подпункт 6): проверка метки времени.
Проверка квитанции метки времени осуществляется для электронных документов долговременного хранения. Квитанция метки времени формируется в момент подписания электронного документа при определении положительного результата проверки ЭЦП, тем самым являясь доказательством подписания документа в указанный момент времени.
Метка времени является доказательством наличия ЭЦП в указанный в квитанции момент времени. Это не просто надпись «12:25:17 22.04.2021», которую, разумеется, легко изменить. Метка времени подписывается специальным ключом удостоверяющего центра и, если после подписания внести в неё изменения, при проверке это выявится.
Так вот в электронном документе, который после подписания отправляется на Платформу, квитанция метки времени отсутствует.
По моему мнению, контроль со стороны государства в разных частях всего процесса осуществляет Национальный Банк Республики Казахстан, Агентство Республики Казахстан по регулированию и развитию финансового рынка, Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан. Соответствующее официальное обращение в эти органы было направлено. Полагаю, они инициируют соответствующие проверки и определят меры ответственности в соответствии со своими компетенциями в рамках законодательства РК.
Считаю, что если Банк изъявит желание вернуться в правовое поле, то переподписание обязательно. Пойдут ли на это сами граждане — вопрос открытый.
С другой стороны, потенциально, все сделки, совершённые с участием Банка, где основаниями, в том числе, были документы, подписанные на Платформе, могут быть признаны недействительными. А это гораздо более серьёзный вопрос, чем ответственность отдельно взятого банка, т.к. затрагивает интересы всех граждан, воспользовавшихся единовременными выплатами из ЕНПФ.
Vladimir Turekhanov ・ April 22, 2021