Експерт з управління інтернетом Олександр Царук — про кроки з легалізації електронної комерції в Україні
4 жовтня 2016 року у першому читанні Верховна Рада прийняла законопроект № 4117 «Про внесення змін до деяких законодавчих актів України щодо лібералізації готівкових розрахунків», або, як його ще назвали експерти, законопроект «про онлайн РРО».
Питанням вивчення законодавчого застосування реєстраторів розрахункових операцій (РРО), або, простіше кажучи, касових апаратів, я займаюся вже кілька років — раніше як консультант проекту Фіскальна хмара, а зараз як лідер стартапу QUARK.
Філософія, що була закладена у розробку законопроекту № 4117, кореспондує з підходами Фіскальної хмари. Ключовою ідеєю є такий принцип РРО як програмне забезпечення, яке розподілене між системою хмарних обчислень, розміщеній в дата-центрі, та персональними пристроями — комп’ютером, смартфоном, планшетом тощо.
Після майже піврічних консультації з фахівцями галузі кібербезпеки, захисту персональних даних та прав споживачів, сертифікації і підтвердження відповідності стало зрозуміло, що реалізувати фіскальні функції лише на рівні програмного забезпечення не є можливим, насамперед через вимоги до системи безпеки та захисту інформації.
Після ґрунтовного визначення тексту законопроекту можна погодитися з доцільністю запровадження розподілених реєстраторів розрахункових операцій (РККО) на основі нової технології поєднання клієнтських терміналів і центральних серверних сховищ за допомогою телекомунікаційних систем та спеціального програмного забезпечення, яка у правильній моделі реалізації може дійсно призвести до можливості введення нових моделей РРО для ширшого кола суб'єктів, причому, можливе досягнення зниження вартості для кінцевого споживача.
Вищезазначене дійсно було б можливим, якби законопроект не містив системних недоліків, без виправлення яких у режимі другого читання можуть бути створені умови для послаблення фіскального контролю за готівковим обліком та ухиленням від сплати податків.
Це, у свою чергу, ставитиме під загрозу наповнення дохідної частини державного бюджету та виконання Україною умов Меморандуму, погодженого з МВФ у вересні 2016 року, який вимагає від уряду України та передбачає запровадження ефективніших механізмів адміністрування податків, детінізації економіки та підвищення контролю за готівковим обігом.
Реалізувати фіскальні функції лише на рівні програмного забезпечення не є можливим, насамперед через вимоги до системи безпеки та захисту інформації
За результатами аналізу, виключно за умови врахування таких ключових моментів буде можливим легальне використання технології, запропонованої в законопроекті № 4117.
По-перше, приведення його у відповідність до чинного законодавства у сфері електронного документообігу та захисту інформації.
Для цього законопроект потрібно очистити від фіктивних понять, що підміняють критичні елементи системи інформаційної безпеки. Йдеться передусім про поняття «цифрового підпису» та «електронного повідомлення». У законопроекті потрібно визначити, що покупцеві видається електронний документ з електронним цифровим підписом (ЕЦП), оскільки надсилання електронного повідомлення без належного захисту інформації і криптографічного захисту зв’язку між елементами системи з незрозумілим «цифровим підписом» унеможливлює реалізацію у розподіленому РРО комплексу системи захисту інформації (КСЗІ) з підтвердженою відповідністю.
Якщо змінити описані вище норми, покупець отримає електронний документ (який може бути доставлений йому е-mail, SMS чи надрукований на принтері), тобто дістане юридично доказову силу, що дає змогу його пред’явити у вирішенні процесуальних питань у суді, органах захисту прав споживачів, а також при оформленні валових та ПДВ в бухгалтерському обліку.
Застосування КЗСІ дозволить унеможливити видалення, викривлення чи модифікацію інформації про здійснені операції, а отже, не дасть змоги застосовувати «тіньові» схеми ухилення від податків.
По-друге, приведення у відповідність норм законопроекту до законодавства у сфері захисту персональних даних.
Закон про захист персональних даних визначає, що покупець, а в нашому випадку — власник таких персональних даних, як номер телефону, адреса електронної пошти тощо, може доручити обробку власних персональних даних іншій особі, розпоряднику персональних даних — оператору РККС, виключно в рамках окремого договору, укладеного в письмовій формі, що передбачено у ст. 4 Закону.
Вирішити проблему захисту персональних даних клієнта я пропоную шляхом використання криптографічного захисту зазначеної інформації, або, інакше кажучи, шляхом шифрування за умови, що ці дані будуть недоступними для зчитування адміністраторами системи та оброблятимуться на терміналі.
У такому разі покупцеві не потрібно укладати договір у письмовому вигляді, оскільки електронний документ з ЕЦП є формою договору, укладеного в електронній формі.
По-третє, вдосконалення практики опломбування складових систем РККС як одного з елементів технічного контролю. Для цього необхідно вилучити норми, які знімають необхідність опломбування РККС, насамперед має бути обмежений доступ до фіскального блоку сервера - «чорного ящика», в якому зберігаються всі дані про проведені транзакції, які не можуть бути видаленими чи модифікованими адміністраторами РККС.
Крім вирішення базових проблем законопроекту, його авторам варто було б зосередитися також на галузі його застосування. Цілком зрозуміло, що система мережевого РРО була б цікавою передовсім там, де є покупці та бізнес, які технологічно зрілі до таких інновацій, а також там, де процеси торгівлі проходять переважно в електронному режимі.
Тобто, потенційним замовником таких систем є електронна комерція — там і сервери працюють у режимі реального часу, і платежі проходять у режимі онлайн, а покупці будуть цілком задоволені можливістю отримання розрахункового документа в електронній формі.
Система мережевого РРО була б цікавою передовсім там, де є покупці та бізнес, які технологічно зрілі до таких інновацій, а також там, де процеси торгівлі проходять переважно в електронному режимі
Але торгові мережі, роздрібна торгівля нафтопродуктами, де чеки друкуватимуться у більшості випадків, економити на РРО не будуть, оскільки для них є важливими насамперед швидкість і відмовостійкість.
Для прикладу: на АЗС, де середня вартість чеку в пікові години досягає 500 грн., а за хвилину проходить від 2−4 транзакції, у разі втрати зв’язку з фіскальним сервером всього на годину означатиме втрату виручки обсягом від 50 тис. до 100 тис. гривень.
Відповідно мережі, які функціонують у середовищі ненадійного телекомунікаційного зв’язку, свій вибір зупинять на традиційних типах РРО.
Крім того, слід відзначити, що вартість якісного принтеру становить від $ 150 до $ 200, відповідно економія у розмірі $ 50−100, за наявності додаткових ризиків, просто нікого не зацікавить.
Система РККС має працювати в режимі реального часу, оскільки фіскалізація в ній реалізована на рівні сервера, і саме його процесор і фіскальний блок мають через мережі захищеного зв’язку давати команди на відпуск товару і друк чи створення в електронному виді розрахункового документа.
За інших умов ця система не створюватиме юридично значимий документ або даватиме можливість модифікації даних.
Окремо у законопроекті варто визначити, що РККС — це сукупність програмних та апаратних компонентів, а не лише програмного забезпечення. Фіскальну функцію та фіскальну пам’ять реалізовує сертифікована інформаційно-телекомунікаційна система, розробником оператором і клієнтом якої мають бути три юридично розподілені особи і в жодному разі не державні органи.
Якщо ж РККС буде в руках ДФС, податківців матимуть усі можливості видаляти інформацію про транзакції підприємств, які більш лояльні або з інших корисних мотивів, на боротьбу з якими зараз державою кинуті всі сили.