DOING BUSINESS IN KAZAKHSTANСкачать PDF
aequitas@aequitas.kz+7 (727) 3 968 968

Защита данных и кибербезопасность

Шоланов Н., Грешников К. Особенности ввоза средств криптографической защиты информации (СКЗИ) в Республику Казахстан // Zakon.kz – 2022.06.18.

Понятие и назначение СКЗИ

  Одним из действенных и эффективных способов обеспечить безопасность передаваемой информации является её шифрование при помощи специальных средств криптографической защиты информации.

  СКЗИ представляет из себя программу / устройство, которое шифрует документы и генерирует электронный ключ. Иными словами, СКЗИ – это товары, способные шифровать информацию и (или) в состав которых включены средства шифрования.

  Все дальнейшие операции с информацией производятся с помощью электронного ключа, который невозможно подобрать вручную. За счет этого обеспечивается надежная защита информации.

В самом общем смысле СКЗИ работают по следующей схеме:

  • Одна из сторон создаёт документ, содержащий информацию и с помощью СКЗИ добавляет файл подписи, который зашифровывает документ и направляет документ получателю.

  • После получения документа получатель расшифровывает его при помощи СЗКИ и своего электронного ключа.

  • СКЗИ по своей природе предназначены для сохранения конфиденциальности данных при помощи шифра.

Общий порядок ввоза СКЗИ

По общему правилу для ввоза СКЗИ в Республику Казахстан (далее – «РК») необходимо получение ряда обязательных разрешительных документов, среди которых:

  • заключение комитета национальной безопасности (далее – «КНБ») об отнесении программного обеспечения к СКЗИ;

  • разрешение на ввоз СКЗИ;

  • нотификация.

  Ввоз и вывоз СКЗИ регулируется Приложением №9 к Решению Коллегии Евразийской экономической комиссии от 21.04.2015 № 30 «О мерах нетарифного регулирования» (далее – «Решение»).

  В частности, решением установлено, что ввоз СКЗИ осуществляется при наличии сведений о включении соответствующей нотификации в единый реестр нотификаций либо при наличии соответствующей лицензии на ввоз СКЗИ, полученной в КНБ.

  При определении необходимости получения разрешения КНБ на ввоз СКЗИ необходимо принимать во внимание тот факт, что данный разрешительный документ выдается в связи с обеспечением национальной (в том числе – информационной) безопасности Республики Казахстан. В частности, выдача данного разрешения позволяет КНБ вести учет СКЗИ и осуществлять необходимый контроль за их деятельностью, поскольку в ряде случаев возможны ситуации, при которых посредством СКЗИ будут передаваться государственные секреты третьим лицам. Следуя данной логике, полагаем, что при скачивании СКЗИ также необходимо получение разрешение КНБ на ввоз/скачивание соответствующего ПО.

  Если проанализировать перечень СКЗИ, определенных Решением, то можно понять, что данный перечень по общему правилу относится к СКЗИ на физических носителях. Так, примерами носителей СКЗИ могут быть принтеры, копировальные аппараты, факсимильные аппараты, карманные машины, абонентские устройства связи и т. п. Данный перечень установлен п. 2.19 Приложения №2 к Решению и включает в себя 17 видов носителей СКЗИ с указанием соответствующих кодов ТН ВЭД ЕАЭС. При этом, в качестве примечания установлено следующее: «Для целей настоящего раздела необходимо руководствоваться как кодом ТН ВЭД ЕАЭС, так и наименованием товара».

Таможенная классификация СКЗИ как товара

  Под ввозом товаров на таможенную территорию ЕАЭС подразумевается совершение действий, которые связаны с пересечением таможенной границы Союза и в результате которых товары прибыли на таможенную территорию Союза любым способом (пп. 3 ст. 2 Таможенного кодекса ЕАЭС).

  Товаром в свою очередь является любое движимое имущество, включая программное обеспечение.

  Под программным обеспечением (далее – «ПО») в соответствии с законодательством РК подразумевается совокупность программ, программных кодов, а также программных продуктов с технической документацией, необходимой для их эксплуатации. При этом программный продукт – это самостоятельная программа или часть программного обеспечения, являющаяся товаром, которая независимо от ее разработчиков может использоваться в предусмотренных целях в соответствии с системными требованиями, установленными технической документацией.

  Таким образом, законодательство РК определяет ПО как товар / вещь. Это также подтверждается гражданским законодательством, в соответствии с которым к имущественным благам и правам (имуществу) относятся вещи, деньги, в том числе иностранная валюта, финансовые инструменты, работы, услуги, объективированные результаты творческой интеллектуальной деятельности, фирменные наименования, товарные знаки и иные средства индивидуализации изделий, имущественные права и другое имущество.

  Под имущественными благами в рамках гражданского законодательства понимаются все те материальные предметы и иные ценности, которые могут удовлетворять материальные и иные потребности субъектов права и включены в сферу отношений, регулируемых гражданским правом. Под имущественными правами же понимаются гражданские субъективные права на имущественные блага, их приобретение, использование и отчуждение. Имущественные блага и имущественные права объединяют общим понятием имущества, в связи с чем под имуществом могут пониматься как отдельные имущественные блага или имущественные права, так и их совокупности.

  Законодательством также прямо устанавливается, что к движимому имуществу относится всё, что не относится к недвижимому имуществу. Соответственно, ПО является движимым имуществом.

  Таким образом, ПО, являясь движимым имуществом, попадает под понятие «товар» с точки зрения таможенного законодательства.

Особенности ввоза СКЗИ посредством скачивания их с заграничного ресурса

  В том случае, если подобные физические СКЗИ ввозятся на территория РК, то необходимо соответствующее разрешение КНБ на ввоз. Однако, в настоящее время СКЗИ в виде программного обеспечения могут быть не только ввезены на территорию посредством ввоза физического носителя, но и могут быть скачаны с зарубежного источника (сервера) посредством Интернет, и вопрос о необходимости получать разрешение КНБ на ввоз СКЗИ в таком случае остается открытым.

  Следует отметить, что в приведённом выше перечне СКЗИ отсутствуют СКЗИ в виде программного обеспечения, а соответственно определить код ТН ВЭД ЕАЭС для таких ПО не представляется возможным. Однако товары, классификация которых не может быть осуществлена в соответствии с положениями Единой Товарной номенклатуры, классифицируются в товарной позиции, соответствующей товарам, наиболее сходным (близким) с рассматриваемыми товарами. То есть, мы полагаем, что приведенный в п. 2.19 Приложения №2 к Решению перечень СКЗИ не является исчерпывающим и к данному перечню также возможно отнести программное оборудование, скачиваемое с иностранных серверов. Мы исходим из того, что целью государственного регулирования ввоза СКЗИ является контроль над появлением в стране возможности (в виде устройства или программы) для криптографической обработки исходной информации с целью её дальнейшей пересылки в зашифрованном виде, что может представлять собой «оперативный интерес» с позиций национальной безопасности.

  В свою очередь, с учетом специфики таможенного законодательства, следует обратить внимание на тот факт, что ввозом являются действия, связанные с пересечением таможенной границы ЕАЭС и в результате которых товары прибыли на таможенную территорию ЕАЭС любым способом. То есть, законодатель прямо предусматривает, что не имеет значения каким образом товар оказывается на территории ЕАЭС. Для того, чтобы объект считался ввезенным на территорию ЕАЭС необходимо одновременное наличие двух составляющих:

  • совершение определенного действия;

  • прибытие товара на территорию ЕАЭС.

  В случае со скачиванием СКЗИ с иностранного сервера происходит передача данных между двумя вычислительными системами (с одного сервера или устройства на другой). В результате данных действий ПО появляется на соответствующем устройстве на территории ЕАЭС (Казахстана).

  Например, если ПО изначально находилось на сервере, расположенном на территории США, то в результате скачивания, данное ПО появляется на сервере, расположенном на территории Казахстана.

  В приведенном выше примере отчетливо видны обе необходимых составляющих. Под действием в данном случае подразумевается скачивание, а под прибытием товара на территорию ЕАЭС подразумевается окончание загрузки с иностранного сервера соответствующего ПО.

  В дополнение к вышеизложенному следует отметить, что интернет подразумевает использование электромагнитных волн для передачи информации, благодаря которым определенное ПО может быть фактически перемещено и распространено с одной страны в другую. При этом, полагаем, что с учетом современного мира, дефиницию «ввоз» стоит толковать в более широком смысле и не ограничиваться лишь физическим пересечением товара через границу ЕАЭС.

  Таким образом, мы полагаем, что для определения факта ввоза СКЗИ нельзя ограничиваться лишь фактом ввоза физического носителя с ПО.

  Далее, поскольку загрузка ПО является ввозом, то соответственно она попадает под таможенные процедуры, которые ПО должно успешно пройти. Таможенная процедура определяется как совокупность норм, определяющих для целей таможенного регулирования условия и порядок использования товаров на таможенной территории ЕАЭС или за ее пределами.

  При этом помещение СКЗИ под таможенные процедуры выпуска для внутреннего потребления и экспорта в целях обеспечения собственных нужд без права их распространения и оказания третьим лицам услуг в области шифрования (криптографии) осуществляется при представлении таможенному органу государства-члена разрешительного документа или сведений о нотификации.

  На основании всего вышеизложенного мы полагаем, что в случае скачивания СКЗИ с иностранного сервера необходимо получение разрешения КНБ (или сведения о нотификации).