Использование электронной подписи давно вышло за пределы технической процедуры. Сегодня она применяется в электронном документообороте, государственных сервисах, корпоративных системах, банковской сфере и иных формах цифрового взаимодействия [5]. Через электронную подпись подтверждается связь между лицом, электронным документом и юридически значимым действием [1]. Но эта связь не возникает сама по себе. Чтобы подпись могла выполнять свою функцию, система должна установить субъекта, проверить его данные, выдать или проверить сертификат, зафиксировать действие и сохранить сведения о нем [2].

Именно здесь возникает проблема персональных данных. Электронная подпись работает не только с документом, но и с информацией о человеке. При ее использовании могут обрабатываться фамилия, имя, отчество, данные документа, удостоверяющего личность, СНИЛС, ИНН, сведения о владельце сертификата, данные учетной записи, информация о времени входа в систему, IP-адресе, устройстве и совершенных операциях [1]. Состав данных зависит от конкретной системы, но общий принцип один: чем серьезнее юридическое значение электронного действия, тем больше внимания уделяется установлению личности субъекта [2].

Федеральный закон «Об электронной подписи» определяет электронную подпись как информацию в электронной форме, которая присоединена к другой электронной информации или иным образом связана с ней и используется для определения лица, подписывающего информацию [1]. Уже само это определение показывает, что персональные данные находятся рядом с электронной подписью не случайно. Без сведений о субъекте невозможно подтвердить, кто именно подписал электронный документ и может ли такое действие иметь юридическое значение [2].

При этом обработка персональных данных не должна становиться чрезмерной. Закон «О персональных данных» закрепляет принцип целевой обработки: персональные данные должны обрабатываться для конкретных, заранее определенных и законных целей. Закон также прямо указывает, что объем обрабатываемых данных не должен быть избыточным по отношению к этим целям [2]. Для сферы электронной подписи это имеет практическое значение: если для выдачи сертификата, проверки подписи или подтверждения действия достаточно определенного набора сведений, сбор дополнительных данных требует отдельного обоснования.

На практике этот баланс выдерживается не всегда. Удостоверяющие центры, операторы информационных систем, сервисы электронного документооборота и организации, использующие электронную подпись, могут накапливать значительные массивы данных о пользователях [3]. Часть этих сведений нужна для нормальной работы системы. Например, без данных о владельце сертификата невозможно подтвердить принадлежность подписи, а без журналов операций трудно проверить спорное действие. Но проблема начинается там, где данные собираются «на всякий случай», хранятся неопределенно долго или становятся доступными слишком широкому кругу лиц [2].

Особенно чувствительным является вопрос повторного использования данных. Один и тот же субъект может передавать сведения удостоверяющему центру, работодателю, оператору электронного документооборота, государственному сервису и другим участникам цифровой инфраструктуры [3]. В результате персональные данные распределяются между несколькими системами. Для пользователя эта цепочка часто непрозрачна. Он может не понимать, кто именно хранит его сведения, кому они передаются, как долго сохраняются и кто отвечает при утечке или неправомерном использовании [2].

Эта проблема усиливается на фоне общего роста утечек персональных данных. По данным Роскомнадзора, за 2024 год было зафиксировано 135 случаев утечки баз данных, в которых содержалось более 710 млн записей о россиянах. Эти показатели не относятся только к электронной подписи, но они показывают масштаб рисков в цифровой среде. Когда персональные данные оказываются в открытом доступе, это затрагивает не только частную жизнь человека. Возникают риски неправомерного доступа к информационным системам, попыток оформить действия от чужого имени, использования данных для социальной инженерии и создания спорных ситуаций вокруг подлинности электронного документа [3].

Для электронной подписи утечка персональных данных особенно опасна. Сама по себе утечка не всегда означает, что подпись будет незаконно использована. Но она может стать первым звеном в цепочке нарушения. Например, раскрытые сведения могут применяться для восстановления доступа, обхода проверочных процедур, обмана пользователя или получения дополнительной информации о владельце сертификата. В такой ситуации электронная подпись формально может оставаться действующей, но доверие к действиям, совершенным с ее использованием, уже ослабевает [4].

Проблема состоит еще и в том, что законодательство о персональных данных и законодательство об электронной подписи часто работают параллельно. Первое регулирует обработку сведений о человеке, второе — виды электронной подписи, сертификаты, удостоверяющие центры и порядок применения подписи. Но при реальном использовании электронной подписи эти сферы пересекаются. Если данные субъекта были обработаны избыточно, переданы без достаточного основания или раскрыты третьим лицам, это влияет не только на режим персональных данных. Под вопросом оказывается и надежность электронного взаимодействия [4].

Поэтому защита персональных данных при использовании электронной подписи должна рассматриваться как часть ее правового режима [1]. Нельзя ограничиваться формальной фразой о согласии на обработку данных. Важно понимать, какие именно сведения собираются, зачем они нужны, кто получает к ним доступ и как субъект может защитить свои права при ошибке, утечке или спорном электронном действии. Электронная подпись должна подтверждать доверие к цифровому документу, а не создавать дополнительный риск для лица, чьи данные используются в системе.

Отдельного внимания требует принцип минимизации данных. Для разных процедур нужен разный объем сведений. Выдача квалифицированного сертификата требует более строгой идентификации. Проверка электронной подписи не всегда должна сопровождаться широким доступом к данным владельца. Хранение журналов операций может быть оправдано для последующего подтверждения действия, но такие журналы не должны превращаться в постоянный цифровой профиль пользователя. Чем точнее определена цель обработки, тем проще установить допустимый объем данных [2].

Практическая сложность заключается в распределении ответственности. В использовании электронной подписи участвуют разные субъекты: владелец подписи, удостоверяющий центр, оператор информационной системы, организация, где применяется электронный документооборот. Каждый из них обрабатывает отдельную часть информации. Но для субъекта персональных данных вся система выглядит единой. Если возникает проблема, ему важно понимать, кто обязан предоставить сведения, кто отвечает за хранение данных, кто должен уведомить об инциденте и кто принимает меры по прекращению риска.

В действующем регулировании эти вопросы не всегда раскрыты достаточно ясно. Закон задает общие требования к обработке персональных данных и к применению электронной подписи, но конкретная модель защиты часто зависит от правил информационной системы, соглашения участников или внутренних регламентов организации. Из-за этого уровень защиты может различаться. В одной системе пользователь получает уведомления о действиях с подписью, в другой — узнает о проблеме только после возникновения спора. Такая неравномерность снижает доверие к электронному документообороту.

Для решения обозначенных проблем нужны более понятные правила обработки персональных данных при использовании электронной подписи. В первую очередь следует точнее определить минимальный состав данных для разных процедур. Получение квалифицированного сертификата, проверка электронной подписи, хранение сведений в реестре и фиксация факта подписания документа — это не одно и то же. Для каждой процедуры нужен свой объем сведений. Если для выдачи сертификата требуется надежная идентификация лица, то при последующей проверке подписи во многих случаях достаточно подтвердить статус сертификата, срок его действия и отсутствие оснований для недоверия к подписи. Такой подход помогает снизить избыточную обработку данных без ослабления юридического значения электронной подписи.

Отдельное значение имеет срок хранения данных и доступ к ним. Сведения, связанные с использованием электронной подписи, не должны храниться неопределенно долго только потому, что они могут когда-нибудь пригодиться. Это касается данных о владельце сертификата, журналов действий, сведений о входах в систему и подтверждении операций. Если срок хранения и круг лиц, имеющих доступ к таким данным, не определены ясно, цифровой след пользователя становится слишком объемным. Это повышает риск утечек и последующего неправомерного использования сведений.

Нужна и более прозрачная система информирования пользователя. Формального согласия на обработку персональных данных недостаточно, если человек не понимает, какие сведения используются и зачем. При получении сертификата ему должно быть понятно, какие данные нужны для идентификации. При подписании документа — что именно подписывается, каким видом электронной подписи и какие сведения фиксирует система. При изменении данных, аннулировании сертификата или подозрительной активности пользователь должен получать не общую формальную фразу, а понятное уведомление с указанием возможных действий.

Еще одно направление — быстрый порядок реагирования на утечки и иные инциденты. Если данные, связанные с электронной подписью, могли быть раскрыты или использованы неправомерно, субъект должен понимать, что делать: проверить действующие сертификаты, изменить средства доступа, обратиться к удостоверяющему центру, ограничить использование подписи или отозвать сертификат. Такой порядок должен быть заранее закреплен в правилах информационной системы, регламентах удостоверяющих центров и соглашениях об электронном взаимодействии.

Особую роль здесь играют удостоверяющие центры и операторы информационных систем. Именно они могут выявить подозрительную активность, проверить статус сертификата, ограничить использование скомпрометированных средств доступа и предоставить сведения о спорных действиях [3]. Поэтому их участие не должно сводиться только к выдаче сертификата или хранению сведений в реестре. В сфере электронной подписи они фактически поддерживают режим доверия, а значит, должны участвовать и в защите персональных данных при возникновении рисков [4].

Такие меры позволяют сократить избыточную обработку данных, сделать действия участников цифровой инфраструктуры более понятными и снизить последствия возможных утечек. Для электронной подписи это имеет прямое значение: чем яснее устроена защита персональных данных, тем устойчивее доверие к электронному документу и цифровому взаимодействию в целом.

Проблема защиты персональных данных при использовании электронной подписи не сводится к вопросу конфиденциальности. Электронная подпись работает только тогда, когда можно установить связь между субъектом, электронным документом и совершенным действием [1]. Для этого обрабатываются сведения о лице, сертификате, учетной записи и действиях в информационной системе. Поэтому персональные данные становятся частью механизма доверия к электронной подписи.

Основной риск связан с тем, что цифровая инфраструктура нередко накапливает больше данных, чем нужно для конкретной цели [2]. Эти сведения хранятся в разных системах, передаются между участниками электронного взаимодействия и могут использоваться при проверке подписи или разрешении спора. Если порядок обработки непрозрачен, а сроки хранения и доступ к данным определены слишком широко, электронная подпись из средства правовой определенности может превратиться в источник новых рисков [4].

Для устойчивого применения электронной подписи нужно точнее связывать ее правовой режим с требованиями законодательства о персональных данных [2]. Важны минимальный состав обрабатываемых сведений, понятное информирование пользователя, распределение ответственности между удостоверяющими центрами, операторами информационных систем и иными участниками, а также быстрый порядок реагирования на утечки и компрометацию данных [3]. Такой подход укрепляет доверие к электронному документообороту и снижает риск оспаривания юридически значимых действий, совершенных в электронной форме.

Литература:

1. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»
2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
3. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
4. Рассолов И. М. Информационное право: учебник и практикум для вузов. 7-е изд., перераб. и доп. М.: Юрайт, 2023. 427 с.
5. Рассолов И. М. Информационное право: курс лекций. М.: МГПУ, 2020. 168 с.