Информационное письмо Банка России от 10.03.2022 N ИН-03-46/29
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАЦИОННОЕ ПИСЬМО
от 10 марта 2022 г. N ИН-03-46/29
О РАСЧЕТЕ ХЭШ-КОДА, ПРЕДУСМОТРЕННОГО УКАЗАНИЕМ N 5791-У
Банк России с целью формирования единообразной практики применения Федерального закона N 218-ФЗ <1> и Указания N 5791-У <2> сообщает следующее.
--------------------------------
<1> Федеральный закон от 30.12.2004 N 218-ФЗ "О кредитных историях".
<2> Указание Банка России от 11.05.2021 N 5791-У "О требованиях к составу и формату запроса о предоставлении кредитного отчета, правилах поиска бюро кредитных историй информации о субъекте кредитной истории и форме подтверждения наличия согласия субъекта кредитной истории".
Согласие субъекта кредитной истории на получение его кредитного отчета (далее - согласие) может быть получено пользователем кредитной истории в форме электронного документа, подписанного субъектом кредитной истории простой электронной подписью (далее - ПЭП) в соответствии с подпунктами "б" - "г" пункта 2, подпунктами "б" и "в" пункта 3 части 9 статьи 6 Закона о кредитных историях, и должно содержать сведения из титульной части кредитной истории, цель и дату оформления указанного согласия, а также наименование пользователя - юридического лица либо фамилию, имя и отчество (при наличии) пользователя - индивидуального предпринимателя (далее - сведения, подлежащие включению в согласие) <3>.
--------------------------------
<3> Абзац первый части 9 статьи 6 Федерального закона N 218-ФЗ.
Согласно части 1 статьи 9 Федерального закона N 63-ФЗ <4> электронный документ считается подписанным ПЭП при выполнении в том числе одного из следующих условий:
--------------------------------
<4> Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи".
1) ПЭП содержится в самом электронном документе;
2) ключ ПЭП применяется в соответствии с правилами, установленными оператором информационной системы, с использованием которой осуществляются создание и (или) отправка электронного документа, и в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ.
Пользователь кредитной истории подтверждает наличие согласия, имеющего форму электронного документа, по форме, которая предусматривает указание его хэш-кода, полученного в результате вычисления хэш-функции <5> (пункт 5, строка 9 формы, предусмотренной приложением 3 к Указанию N 5791-У).
--------------------------------
<5> Реализованной в соответствии с национальным стандартом Российской Федерации ГОСТ Р 34.11-2012 "Информационная технология. Криптографическая защита информации. Функция хэширования", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 7 августа 2012 года N 216-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2013) (используется хэш-код длиной 256 бит, который в целях визуализации всех символов хэш-кода преобразуется в шестнадцатеричную систему счисления).
В связи с этим для указания хэш-кода согласия в форме электронного документа, подписанного ПЭП, Банк России рекомендует руководствоваться следующими подходами.
Если использование ПЭП предусмотрено соглашением между субъектом кредитной истории и пользователем кредитной истории <6>, и ПЭП не содержится в самом электронном документе, то пользователь кредитной истории рассчитывает хэш-код электронного документа, объединяющего сведения, подлежащие включению в согласие, и ключ ПЭП.
--------------------------------
<6> В соответствии с подпунктами "в" и "г" пункта 2, подпунктами "б" и "в" пункта 3 части 9 статьи 6 Федерального закона N 218-ФЗ.
Если согласие подписано ПЭП в инфраструктуре цифрового профиля <7>, то хэш-код рассчитывается пользователем кредитной истории для электронного документа согласия типа "Credit_Report" <8>.
--------------------------------
<7> Подпункт "а" пункта 2 Положения о проведении эксперимента по повышению качества и связанности данных, содержащихся в государственных информационных ресурсах, утвержденного Постановлением Правительства Российской Федерации от 03.06.2019 N 710 "О проведении эксперимента по повышению качества и связанности данных, содержащихся в государственных информационных ресурсах". Ключ ПЭП в этом случае должен быть получен при личной явке в соответствии с правилами использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме, установленными Правительством Российской Федерации.
<8> Электронный документ может быть получен пользователем посредством СМЭВ либо REST API согласно Сценариям использования инфраструктуры Цифрового профиля (URL: [digital.gov.ru/ru/documents/7554/]) и Методическим рекомендациям по интеграции с REST API Цифрового профиля (URL: [digital.gov.ru/ru/documents/7166/]).
Согласно части 12 статьи 6 Федерального закона N 218-ФЗ согласие хранится в течение трех лет со дня окончания срока его действия в любой форме, в том числе электронной, позволяющей проверить его целостность и достоверность.
В связи с этим Банк России обращает внимание пользователей кредитных историй на необходимость хранения согласий, полученных в форме электронных документов, хэш-коды которых были рассчитаны во исполнение Указания N 5791-У, в течение срока, установленного Федеральным законом N 218-ФЗ.
Настоящее информационное письмо подлежит размещению на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".
Первый заместитель
Председателя Банка России
Д.В.ТУЛИН