Усі вже звикли до нової нормальності. Онлайн-зустрічі, соціальна дистанція та віддалена робота гарно інтегрувалися в наше життя. Але до електронних підписів, ще одного цікавого інструменту цієї нової нормальності, в українському B2B досі ставляться з пересторогою. Як підписувати документи за допомогою е-підписів, істотно зменшивши транзакційні витрати, зокрема з іноземними контрагентами, і які є ризики їхнього застосування, розповів Mind адвокат First Chair Legal Юрій Репета.
Електронний підпис – це е-дані, які додаються підписувачем до інших е-даних або логічно з ними пов’язуються і використовуються ним як підпис. Так, е-підписом може бути й електронне зображення власноручного підпису, код, отриманий для підтвердження операції, і комбінація hash-номерів, що може бути розшифрованою в певний спосіб.
Основні завдання підпису, і електронного зокрема:
Але давайте ближче до реальності щодо е-підписів. Не будемо теоретизувати про їхні різновиди, які можуть використовуватися в B2B-сегменті, а зупинимося на найбільш обговорюваних – кваліфікованому електронному підписі (КЕП) та е-підписи, що згенеровані сервісами типу DocuSign, HelloSign та іншими схожими.
Усі вже звикли до КЕП. Бухгалтери підписують ним звітність, він активно використовується в тендерах, ми підписуємо з його допомогою електронні петиції та багато іншого. Немає жодних перешкод для підписання КЕП договорів та інших документів, оскільки діє презумпція відповідності власноручному підпису.
«Але» виникає лише за потреби підписати таким підписом договір з іноземними компаніями, адже це, давайте будемо чесними, наразі неможливо. Україна не уклала з іншими країнами жодного міжнародного договору про взаємне визнання сертифікатів відкритих ключів та електронних підписів (хоч зараз і ведеться робота з ЄС та Естонією).
Якщо ж йдеться про відносини між резидентами України – ласкаво просимо. Тут жодних зауважень від банків, податківців, інших регуляторів і контролерів немає. Ми самі активно використовуємо такий підпис для підписання договорів та первинних документів з українськими клієнтами, а також в межах електронного суду.
Отож в сфері, де транзакційні витрати – найвищі, а саме у відносинах з іноземними компаніями, КЕП не допоможе. Для підписання договорів з іноземцями часто цікавляться такими сервісами, як, наприклад, DocuSign, HelloSign, eversign, SignRequest, signNow, PandaDoc, Adobe Sign. Кожен із них має свої особливості й відрізняється в рівні ідентифікації та безпеки.
Оскільки DocuSign володіє часткою цього ринку в розмірі орієнтовно 70%, сфокусувалися на ньому. До того ж деякі TNC вводять DocuSign у свої корпоративні політики як обов‘язковий до використання. Наразі розглянемо можливості цього сервісу.
Згенеровані ним електронні підписи є так званими простими електронними підписами. Українське законодавство каже нам, що електронний підпис не може бути визнаним недійсним і позбавленим можливості розглядатися як доказ у суді лише тому, що має електронну форму або не відповідає вимогам до КЕП. Але такі підписи можуть використовуватися лише в приватних відносинах (без держави чи її представників як сторони). Для публічного сектору – КЕП.
Щодо можливості ідентифікації підписанта, підтвердження його згоди з умовами та підтвердження цілісності даних, то той же DocuSign має переконливий арсенал інструментів. Ідентифікація може забезпечуватися, серед іншого, кількарівневою автентифікацією за допомогою електронної пошти, коду доступу, смс-повідомлення або навіть біометричних даних. Кожен підписаний за допомогою DocuSign документ має сертифікат про завершення (certificate of completion), що є доказом підписання сторонами документу.
Цей сертифікат містить інформацію з аудиторського сліду, а саме: встановлює підписантів (зокрема – IP адреси), відмітки часу, де вказано, коли й де кожна сторона підписала документ, а також реквізити підписаного документа. Алгоритм DocuSign унеможливлює внесення змін після підписання документа однією стороною, а сама компанія відповідає стандартам ISO 27001:2013, PCI-DSS, SOC 1 Type 2 та SOC 2 Type 2. Тобто інструментів, щоб підтвердити особу – вдосталь. Підсумок: DocuSign – це вам не факсиміле.
Треба визнати, що є вакуум в розумінні українськими банками і контролюючими органами простих е-підписів. Чи пропустить український банк платіж, підставою для якого є договір, підписаний за допомогою такого підпису? Чи не буде в української податкової служби під час перевірки питань до підписаних за допомогою цього сервісу первинних документів? Та й чи не буде нагоди визнати в українському суді такий договір неукладеним? У США та Великобританії таких питань немає. У країнах ЄС (наприклад, у Нідерландах, Німеччині, Швеції, Норвегії, Сінгапурі) є деякі винятки (певні види оренди та кредитів, доручення тощо), але, за загальним правилом, до підписаних за допомогою DocuSign комерційних договорів, NDA, кадрових документів, інвойсів також не буде питань.
Є в Україні ще одна «кістка в горлі» е-підписів – норма про те, що використання е-підпису в Україні допускається у випадках, встановлених законом (щодо КЕП – встановлено) або за письмовою згодою сторін, у якій мають міститися зразки аналогів власноручних підписів. Під цим усі чомусь розуміють такий самий порядок, як і для факсиміле: треба власноручно підписаний документ зі зразками підписів. Біль – очевидний.
То що, треба власноручно підписаний документ для того, щоб підписати наступний за допомогою DocuSign? Погодьтесь, навіює східноєвропейською бюрократією. Але, по-перше, договір вважається таким, що вчинений у письмовій формі, якщо воля сторін виражена за допомогою електронного засобу зв'язку. Тобто письмова форма – це не обов’язково папір. По-друге ж, DocuSign – це не лише аналог власноручного підпису, а й криптування, автентифікація за допомогою електронного листа, коду доступу, смс-повідомлення тощо. Це все «доповнення до аналога власноручного підпису» може вважатися самодостатнім електронним підписом, наприклад, електронним підписом з одноразовим ідентифікатором відповідно до Закону «Про електронну комерцію».
До речі, Верховний Суд у справі № 524/5556/19 від 12 січня 2021 року підтвердив, що е-договір може бути укладеним не у вигляді окремого документу, підписаного КЕП, а шляхом обміну повідомленнями за допомогою засобів електронної комунікації (вхід у систему за допомогою логіну та паролю, заповнення заявки, а також отримання смс-повідомлення з одноразовим ідентифікатором є належними та допустимими доказами укладання договору).
Отже, вже можна зробити два висновки:
Ніхто не хоче, щоб на ньому проводили експерименти (тим більше під час укладення договору з клієнтом). Але ж біль – очевидний. Тому ми вирішили зробити за DocuSign роботу і поборотися за визначеність у цьому питанні.
За посередництва Європейської Бізнес-Асоціації ми звернулися до Міністерства фінансів, Міністерства цифрової трансформації та Національного Банку, а також подали запит на податкову консультацію в Державну податкову службу для отримання підтвердження нашої гіпотези, що такі сервіси, як DocuSign, дають достатньо інструментів для ідентифікації та збереження цілісності, а тому можуть використовуватися у B2B-відносинах.
Хто хоч раз подавав схожі запити до українських державних органів, той розуміє, що у відповідь найчастіше отримає процитований запит, а інколи – щось на кшталт «обмеження законодавством не встановлені». І ми не стали винятками, незважаючи на дуже вузько і прямо поставлені питання. Відповіли, що обмежень немає, і за попередньою письмовою згодою сторін можна використовувати е-підпис без міжнародної угоди про взаємне визнання електронних довірчих послуг.
Дехто пішов далі. Національний банк без жодного обґрунтування вказав, що е-підпис, згенерований сервісом DocuSign, не може бути прирівняний до власноручного підпису клієнта та гарантувати цілісність і достовірність даних. Біль? Біль! Таких відповідей не лише недостатньо, щоб можна було впевнено рекомендувати відповідний сервіс і стверджувати, що це звільнить від «задоволення» додаткової комунікації з банками і податковою. Вони лише підтверджують, вибачте на слові, ретроградство наших регуляторів.
Тому це лише початок нашого «хрестового походу» для повноцінної легалізації простих е-підписів в Україні. Наступний крок – тест алгоритму й оскарження дій банків / контролюючих органів, які висловлюватимуть зауваження до форми.
Переконані, що, врегулювавши в договорі порядок підписання, передбачивши телефони, адреси електронних скриньок та інші персональні дані, за допомогою яких здійснюватиметься автентифікація, а також виконуючи договір, можна сміливо працювати, зокрема, з DocuSign. Ще одним нашим кроком буде формування судової практики через визнання (точніше, невизнання) підписаного за допомогою зазначеного сервісу договору неукладеним. Далі буде!