Про реалізацію експериментального проекту щодо використання віддаленого кваліфікованого електронного підпису Смарт-Дія

Кабінет Міністрів України

1. Погодитися з пропозицією Міністерства цифрової трансформації, Міністерства внутрішніх справ та Державної міграційної служби стосовно реалізації до 1 липня 2022 р. експериментального проекту щодо використання віддаленого кваліфікованого електронного підпису Смарт-Дія (далі - експериментальний проект) шляхом:

здійснення кваліфікованим надавачем електронних довірчих послуг ідентифікації фізичних осіб, які за допомогою мобільного додатка Єдиного державного веб-порталу електронних послуг "Портал Дія" (далі - Портал Дія) звернулися за отриманням послуги з формування кваліфікованого сертифіката електронного підпису, віддалено, без особистої присутності таких осіб;

формування кваліфікованих сертифікатів електронного підпису з коротким строком дії, призначених для створення підписувачем одного кваліфікованого електронного підпису;

зберігання особистих ключів підписувачів у засобі кваліфікованого електронного підпису, що є апаратно-програмним пристроєм, розташованим в окремому, спеціально призначеному для цього приміщенні кваліфікованого надавача електронних довірчих послуг.

2. Затвердити Порядок реалізації експериментального проекту щодо використання віддаленого кваліфікованого електронного підпису Смарт-Дія, що додається.

3. Визначити державне підприємство "ДІЯ", що належить до сфери управління Міністерства цифрової трансформації, відповідальним за технічне та технологічне забезпечення реалізації експериментального проекту.

4. Внести до Положення про Єдиний державний веб-портал електронних послуг, затвердженого постановою Кабінету Міністрів України від 4 грудня 2019 р. № 1137 "Питання Єдиного державного веб-порталу електронних послуг та Єдиного державного порталу адміністративних послуг" (Офіційний вісник України, 2020 р., № 3, ст. 136, № 19, ст. 741), зміни, що додаються.

5. Міністерству цифрової трансформації, Міністерству внутрішніх справ та Державній міграційній службі:

1) забезпечити протягом шести місяців з дня набрання чинності цією постановою технічну можливість:

ідентифікації осіб, яким було видано паспорт громадянина України або паспорт громадянина України для виїзду за кордон, оформлений із застосуванням засобів Єдиного державного демографічного реєстру, та які звернулися за отриманням послуги з формування кваліфікованого сертифіката електронного підпису Смарт-Дія, з використанням засобів Порталу Дія, Єдиного державного демографічного реєстру та єдиної інформаційної системи Міністерства внутрішніх справ відповідно до Порядку, затвердженого цією постановою;

передачі з Єдиного державного демографічного реєстру засобами єдиної інформаційної системи Міністерства внутрішніх справ до Порталу Дія відцифрованих образів обличчя та інших ідентифікаційних даних осіб, зазначених у пункті 5 Порядку, затвердженого цією постановою, з дотриманням вимог законодавства про захист персональних даних;

2) забезпечити обробку персональних даних, зібраних чи переданих ними відповідно до Порядку, затвердженого цією постановою, з метою ідентифікації фізичних осіб, які звернулися за отриманням послуги з формування кваліфікованого сертифіката електронного підпису Смарт-Дія, згідно з вимогами законодавства про захист персональних даних та захист інформації в інформаційно-телекомунікаційних системах;

3) подати не пізніше ніж через три місяці після завершення реалізації експериментального проекту Кабінетові Міністрів України звіт про його результати та пропозиції щодо внесення змін до законодавства за результатами реалізації експериментального проекту.

6. Міністерству цифрової трансформації забезпечити протягом шести місяців з дня набрання чинності цією постановою:

технічну можливість використання віддаленого кваліфікованого електронного підпису Смарт-Дія фізичними особами - користувачами Порталу Дія відповідно до функціональних можливостей зазначеного веб-порталу;

оприлюднення інформації про реалізацію експериментального проекту на своєму офіційному веб-сайті, офіційному веб-сайті центрального засвідчувального органу та Порталі Дія;

інформування населення про можливість отримання кваліфікованих електронних довірчих послуг, пов’язаних з використанням віддаленого кваліфікованого електронного підпису Смарт-Дія, в тому числі про покроковий алгоритм дій фізичних осіб, необхідних для створення віддаленого кваліфікованого електронного підпису Смарт-Дія.

1. Цей Порядок визначає механізм реалізації експериментального проекту щодо використання віддаленого кваліфікованого електронного підпису Смарт-Дія.

2. У цьому Порядку наведені нижче терміни вживаються в такому значенні:

атака на біометричне пред’явлення - біометричне пред’явлення підсистемі збору біометричних даних з метою втручання в роботу біометричної системи;

біометричне пред’явлення - взаємодія фізичної особи, яка є суб’єктом збору біометричних даних, та підсистеми збору біометричних даних з метою отримання сигналу з біометричного параметра;

віддалений кваліфікований електронний підпис Смарт-Дія - кваліфікований електронний підпис, який створюється за допомогою мобільного додатка Єдиного державного веб-порталу електронних послуг "Портал Дія" (далі - Портал Дія) згідно з вимогами цього Порядку.

Інші терміни в цьому Порядку вживаються у значенні, наведеному в Законах України " Про електронні довірчі послуги", " Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус", " Про захист персональних даних", " Про захист інформації в інформаційно-телекомунікаційних системах", вимогах у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 7 листопада 2018 р. № 992 (Офіційний вісник України, 2018 р., № 98, ст. 3227).

3. Особи, яким було видано паспорт громадянина України або паспорт громадянина України для виїзду за кордон, оформлений із застосуванням засобів Єдиного державного демографічного реєстру, можуть за власним бажанням за допомогою мобільного додатка Порталу Дія звернутися за отриманням послуги з формування кваліфікованого сертифіката відкритого ключа, що використовується для створення, перевірки та підтвердження віддаленого кваліфікованого електронного підпису Смарт-Дія (далі - кваліфікований сертифікат електронного підпису Смарт-Дія), за умови дійсності відповідного паспорта.

Ідентифікація зазначених осіб під час формування та видачі кваліфікованого сертифіката електронного підпису Смарт-Дія здійснюється кваліфікованим надавачем електронних довірчих послуг (далі - надавач) віддалено, без особистої присутності осіб у надавача або у його відокремленому пункті реєстрації.

4. У разі формування кваліфікованого сертифіката електронного підпису Смарт-Дія вперше ідентифікація осіб, зазначених у пункті 3 цього Порядку, здійснюється надавачем шляхом виконання сукупності таких процедур:

1) здійснення верифікації особи з використанням інформації Єдиного державного демографічного реєстру на підставі переданого засобами єдиної інформаційної системи МВС запиту від Порталу Дія, що містить інформацію, яка дає змогу однозначно ідентифікувати особу. Запит формується на основі ідентифікаційних даних особи, переданих до Порталу Дія за допомогою Системи BankID Національного банку України або зчитаних особою за допомогою мобільного додатка Порталу Дія з безконтактного електронного носія, імплантованого у виданий особі паспорт громадянина України чи паспорт громадянина України для виїзду за кордон, оформлений із застосуванням засобів Єдиного державного демографічного реєстру;

2) проведення перевірки дійсності виданого особі паспорта громадянина України або паспорта громадянина України для виїзду за кордон, оформленого із застосуванням засобів Єдиного державного демографічного реєстру, з використанням інформації Єдиного державного демографічного реєстру та бази даних про викрадені (втрачені) документи за зверненнями громадян єдиної інформаційної системи МВС на підставі переданого засобами єдиної інформаційної системи МВС запиту від Порталу Дія, що містить інформацію, яка дає змогу однозначно ідентифікувати особу;

3) здійснення розпізнавання обличчя особи шляхом порівняння фотозображення особи, створеного нею за допомогою мобільного додатка Порталу Дія, з відцифрованим образом обличчя відповідної особи, переданим з Єдиного державного демографічного реєстру засобами єдиної інформаційної системи МВС до Порталу Дія (за умови надання особою ДМС однозначної згоди на обробку її персональних даних у частині передачі відцифрованого образу обличчя) або зчитаним особою за допомогою мобільного додатка Порталу Дія з безконтактного електронного носія, імплантованого у виданий особі паспорт громадянина України чи паспорт громадянина України для виїзду за кордон, оформлений із застосуванням засобів Єдиного державного демографічного реєстру. Розпізнавання обличчя особи здійснюється засобами Порталу Дія за умови успішного проведення перевірки на відсутність ознак атаки на біометричне пред’явлення та стороннього впливу на особу;

4) застосування додаткових механізмів для підтвердження особи, передбачених регламентом роботи надавача.

5. У разі успішної ідентифікації особи відповідно до пункту 4 цього Порядку з Єдиного державного демографічного реєстру засобами єдиної інформаційної системи МВС до Порталу Дія передаються ідентифікаційні дані особи, які вносяться до кваліфікованого сертифіката електронного підпису Смарт-Дія:

прізвище, ім’я, по батькові (за наявності) особи українською мовою;

унікальний номер запису в Єдиному державному демографічному реєстрі;

реєстраційний номер облікової картки платника податків (за наявності) або серія (за наявності) та номер паспорта громадянина України (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідний контролюючий орган), у разі наявності відповідної інформації в Єдиному державному демографічному реєстрі.

Для проведення перевірки дійсності виданого особі паспорта громадянина України, оформленого із застосуванням засобів Єдиного державного демографічного реєстру, з використанням бази даних про викрадені (втрачені) документи за зверненнями громадян єдиної інформаційної системи МВС з Єдиного державного демографічного реєстру засобами єдиної інформаційної системи МВС до Порталу Дія передаються відомості про номер відповідного паспорта.

6. Відцифрований образ обличчя та інші ідентифікаційні дані особи, зазначені в пункті 5 цього Порядку, передаються з Єдиного державного демографічного реєстру засобами єдиної інформаційної системи МВС до Порталу Дія на підставі запиту від зазначеного веб-порталу, що містить згоду особи, надану ДМС, на обробку її персональних даних (у тому числі однозначну згоду на обробку її біометричних даних) у частині такої передачі, а також інформацію, яка дає змогу однозначно ідентифікувати особу.

7. Ідентифікація іноземців та осіб без громадянства, які в установленому порядку подали заяву про надання статусу електронного резидента та звернулися за отриманням послуги з формування кваліфікованого сертифіката електронного підпису Смарт-Дія вперше, здійснюється відповідно до Порядку реалізації експериментального проекту із запровадження та реалізації в Україні електронного резидентства, затвердженого постановою Кабінету Міністрів України від 25 червня 2020 р. № 648 (Офіційний вісник України, 2020 р., № 62, ст. 2003), та регламенту роботи надавача за умови особистої присутності таких осіб у закордонних дипломатичних установах України без виконання процедур, визначених пунктом 4 цього Порядку.

У разі успішної ідентифікації іноземця або особи без громадянства, яка в установленому порядку подала заяву про надання статусу електронного резидента та звернулася за отриманням послуги з формування кваліфікованого сертифіката електронного підпису Смарт-Дія вперше, закордонна дипломатична установа України забезпечує:

1) передачу надавачу ідентифікаційних даних особи, які вносяться до кваліфікованого сертифіката електронного підпису Смарт-Дія:

прізвища, імені, по батькові (за наявності) особи українською мовою;

реєстраційного номера облікової картки платника податків;

2) створення відцифрованого образу обличчя особи, який повинен відповідати вимогам, установленим МВС, та передачу його надавачу для надання послуги з формування кваліфікованого сертифіката електронного підпису Смарт-Дія.

8. Надавач формує та видає кваліфікований сертифікат електронного підпису Смарт-Дія для створення підписувачем одного віддаленого кваліфікованого електронного підпису Смарт-Дія.

Строк дії кваліфікованого сертифіката електронного підпису Смарт-Дія визначається в положеннях сертифікаційних практик, що містяться в регламенті роботи надавача, з урахуванням періоду часу, необхідного для створення одного віддаленого кваліфікованого електронного підпису Смарт-Дія.

Кваліфікований сертифікат електронного підпису Смарт-Дія автоматично скасовується надавачем після створення віддаленого кваліфікованого електронного підпису Смарт-Дія.

9. Надавач використовує ідентифікаційні дані фізичної особи (у тому числі відцифрований образ обличчя), які підтверджені під час ідентифікації такої особи згідно з вимогами пунктів 4 або 7 цього Порядку (далі - підтверджені ідентифікаційні дані), для надання послуги з формування кваліфікованого сертифіката електронного підпису Смарт-Дія. Ідентифікаційні дані, підтверджені під час ідентифікації згідно з вимогами пункту 4 цього Порядку, використовуються протягом шести місяців, а ідентифікаційні дані, підтверджені під час ідентифікації згідно з вимогами пункту 7 цього Порядку, - протягом одного року з дня їх отримання надавачем.

Надавач не пізніше ніж протягом двох годин достроково припиняє використання підтверджених ідентифікаційних даних для надання послуги з формування кваліфікованого сертифіката електронного підпису Смарт-Дія з одночасним скасуванням такого сертифіката, чинного на цей момент часу, у разі:

1) подання підписувачем заяви про дострокове припинення використання підтверджених ідентифікаційних даних, що належать йому, для надання послуги з формування кваліфікованого сертифіката електронного підпису Смарт-Дія в будь-який спосіб, що забезпечує підтвердження особи підписувача;

2) повідомлення підписувачем або Адміністрацією Держспецзв’язку про підозру в компрометації особистого ключа, який належить підписувачу;

3) надходження до надавача документа, що підтверджує:

зміну підтверджених ідентифікаційних даних;

недостовірність підтверджених ідентифікаційних даних;

смерть фізичної особи - підписувача;

набрання законної сили рішенням суду про дострокове припинення використання підтверджених ідентифікаційних даних підписувача для надання послуги з формування кваліфікованого сертифіката електронного підпису Смарт-Дія, оголошення фізичної особи - підписувача померлою, визнання її безвісно відсутньою, недієздатною, обмеження її цивільної дієздатності, визнання її банкрутом;

4) неукладення фізичною особою договору про надання кваліфікованих електронних довірчих послуг, пов’язаних з використанням віддаленого кваліфікованого електронного підпису Смарт-Дія (далі - договір про надання кваліфікованих електронних довірчих послуг), відповідно до пункту 11 цього Порядку;

5) порушення підписувачем істотних умов договору про надання кваліфікованих електронних довірчих послуг;

6) розірвання договору про надання кваліфікованих електронних довірчих послуг.

10. Формування кваліфікованого сертифіката електронного підпису Смарт-Дія вперше після закінчення строку використання підтверджених ідентифікаційних даних, зазначеного в абзаці першому пункту 9 цього Порядку, здійснюється за умови ідентифікації відповідної фізичної особи згідно з вимогами пунктів 4 або 7 цього Порядку.

11. Договір про надання кваліфікованих електронних довірчих послуг укладається на строк використання підтверджених ідентифікаційних даних, зазначений в абзаці першому пункту 9 цього Порядку.

Кваліфікований сертифікат електронного підпису Смарт-Дія, сформований вперше (у тому числі вперше після закінчення строку використання підтверджених ідентифікаційних даних), використовується виключно для укладення фізичною особою договору про надання кваліфікованих електронних довірчих послуг. У такому разі в зазначеному кваліфікованому сертифікаті електронного підпису Смарт-Дія повинні міститися відомості про зазначене обмеження використання віддаленого кваліфікованого електронного підпису Смарт-Дія.

12. У разі формування кожного кваліфікованого сертифіката електронного підпису Смарт-Дія, крім першого (у тому числі крім першого сертифіката після закінчення строку використання підтверджених ідентифікаційних даних), надавач для ідентифікації фізичної особи здійснює розпізнавання її обличчя шляхом порівняння фотозображення особи, створеного нею за допомогою мобільного додатка Порталу Дія, з відцифрованим образом обличчя відповідної особи, який зберігається надавачем протягом строку використання підтверджених ідентифікаційних даних особи, зазначеного в абзаці першому пункту 9 цього Порядку. Розпізнавання обличчя особи здійснюється засобами Порталу Дія за умови успішного проведення перевірки на відсутність ознак атаки на біометричне пред’явлення та стороннього впливу на особу.

13. Ідентифікація фізичних осіб, які звернулися за отриманням послуги з формування кваліфікованого сертифіката електронного підпису Смарт-Дія, здійснюється з дотриманням вимог законодавства про захист персональних даних.

14. Порядок інформаційної взаємодії Порталу Дія, Єдиного державного демографічного реєстру та єдиної інформаційної системи МВС, а також структура та формат інформаційних файлів, що передаються та приймаються, встановлюються Мінцифри та МВС.

Інформаційна взаємодія Порталу Дія, Єдиного державного демографічного реєстру та єдиної інформаційної системи МВС здійснюється в режимі реального часу інформаційно-телекомунікаційними засобами із застосуванням засобів технічного та криптографічного захисту інформації відповідно до Закону України "Про захист інформації в інформаційно-телекомунікаційних системах".

15. Кваліфіковані сертифікати електронного підпису Смарт-Дія можуть використовуватися в інформаційно-телекомунікаційних системах надання електронних послуг, в яких відповідно до законодавства повинен застосовуватися кваліфікований електронний підпис, якщо за результатами оцінки ризиків від використання таких сертифікатів не виявлено загроз для безпеки інформації в зазначених інформаційно-телекомунікаційних системах, а також електронних послуг, що надаються із застосуванням відповідних систем.

У разі виявлення вразливості, яка може створити загрози для безпечного застосування схеми електронної ідентифікації з використанням віддалених кваліфікованих електронних підписів Смарт-Дія, власники та/або розпорядники інформаційно-телекомунікаційних систем надання електронних послуг, в яких використовуються кваліфіковані сертифікати електронного підпису Смарт-Дія, повинні повідомити Мінцифри та Адміністрацію Держспецзв’язку про виявлену вразливість не пізніше ніж протягом доби з моменту, коли їм стало відомо про неї.

У разі коли за результатами аналізу інформації про виявлену вразливість буде підтверджено існування загроз для безпечного застосування схеми електронної ідентифікації з використанням віддалених кваліфікованих електронних підписів Смарт-Дія, Мінцифри невідкладно повідомляє про це усіх власників та/або розпорядників інформаційно-телекомунікаційних систем надання електронних послуг, в яких використовуються кваліфіковані сертифікати електронного підпису Смарт-Дія.

16. Надавач зберігає:

підтверджені ідентифікаційні дані та фотозображення особи, створене нею за допомогою мобільного додатка Порталу Дія під час ідентифікації згідно з вимогами пункту 4 цього Порядку, - протягом визначеного законом строку загальної позовної давності з дня, наступного за днем закінчення строку використання підтверджених ідентифікаційних даних для надання послуги з формування кваліфікованого сертифіката електронного підпису Смарт-Дія;

фотозображення особи, створені нею за допомогою мобільного додатка Порталу Дія під час ідентифікації згідно з вимогами пункту 12 цього Порядку, - протягом визначеного законом строку загальної позовної давності з дня, наступного за днем створення відповідних фотозображень.

17. До складу документованої інформації на папері, яка передається надавачем до центрального засвідчувального органу, не включаються сформовані кваліфіковані сертифікати електронного підпису Смарт-Дія та їх реєстри.

18. Кваліфіковані електронні довірчі послуги, пов’язані з використанням віддаленого кваліфікованого електронного підпису Смарт-Дія, надаються підписувачам безоплатно.

1. Пункт 5 доповнити підпунктом 1-1 такого змісту:

"1-1) забезпечення віддаленої ідентифікації фізичних осіб (без їх особистої присутності) за допомогою мобільного додатка Порталу Дія (Дія) з метою безоплатного надання кваліфікованих електронних довірчих послуг, пов’язаних з використанням віддаленого кваліфікованого електронного підпису Смарт-Дія;".

2. Абзац восьмий пункту 3 додатка 1 до Положення замінити абзацами такого змісту:

"перелік підстав для відмови у наданні послуги;

відомості про порядок оскарження рішень, дій або бездіяльності посадових осіб, уповноважених відповідно до закону надавати адміністративні послуги.".