Собственно главный вопрос - а что защищаем, откуда требования НСД?

Ни где. Это позиция ФСБ, что должны быть сертифицированные, и ФСТЭК, что необязательно (если речь про ПДн)

Давайте исходить из того, что ЭЦП, это зашифрованный закрытым ключом хэш. Какие там могут быть ПДн?

А это где написано?
Могу предположить, что с субъекта взяли в УЦ соответствующее согласие, но, в общем случае, это же не факт.

Может закрытый ключ хотят под ПДн загнать)

А он вместе с ЭЦП передаваться будет?

Я думаю он токены имел ввиду

Ну этож не правильно, когда задается вопрос, и все начинают додумывать, что конкретно имелось в виду.
Имхо, конечно...

Все сертификаты публикуются/регистрируются в реестре, который является публичным ресурсом (ЕСИА). И это факт.

тут вопрос недоработки законодательства. В каждом сертификате есть ФИО, инн и снилс (например). Разумеется это ПД.
Но суть открытого сертификата в том, что он должен быть доступен всем.
В оригинале (не в РФ, а в программе pgp, например, в открытую часть включается только мыло и фио, которое не проверяется. То есть можете честно написать что вы бетмен, а адрес у вас main@kremlin.ru Это более правильно и главное отражает реальную защиту сертификатов.
Но в РФ пошли своим путём, а законы... Да пофиг на законы, не вы же сажать будете.

В каждом сертификате — В каждом квалифицированном сертификате (для бюджета точно).

Ну pgp никак не является оригиналом для ЭП. Первые ЭЦП были вообще не в Америке, а насколько помню, первой была Германия. По составу и требованиям к  ЭП их требования даже превышают требования РФ, например, наша усиленная квалифицированная в их понятиях не является в полном смысле квалифицированной.
По поводу публичности/приватности частных данных в типа "развитых странах", это преогромнейший миф.

что такое "квалифицированное" для нашего ЭП?
Это то, что сертификат удостоверяет кто то другой, то есть удостоверяющий центр. Именно по этой причине воруют квартиры в Москве. Нельзя в анонимности доверять оператору УЦ.
—-
По поводу приватности, да что вы говорите? Если вы и американский шпион создадите на никс с помощью gpg сертификаты и начнёте шифровать сообщения между собой, то расшифровать в приемлемые сроки будет просто невозможно о чём вы пишите. Хоть цру, хоть фсб, хоть супер компьютеры с видеокартами. Математического алгоритма шифрования даже по умолчанию вам хватит более, чем полностью.
Тут вопрос скорее в другом.
В рф целенаправлено сделали выдачу сертификатов через УЦ. В реальном алгоритме шифрования — УЦ — это дыра в безопасности.

суть вкратце, gpg не квалифицирован, однако защищён с одними и теми же алгоритмами на порядок лучше, чем сертификат полученный в УЦ.

Как могут использовать сертиф.
Берут фио человека, ищут в уц сведения об истекших сертиф, или смотрят открытый.сертиф, узнают снилс.
Используясоц.инженерию, при определенном старании, подбираем пароль.
Входим в ЕСИА как этот чувак и получаем доступ ко всем его данным

из чего следует вывод, который навереное все знают. В рф создалли пузырь в виде цифровой экономике. Этот пузырь лопнет, так как в нём дыра на дыре и сбои постоянно.
Нам профит, у нас всегда есть работа. Нудная. бесмысленная, зато немеряно.

Закупки тоже массу инфы выкинули в свет.
Если хотите, там разные виды формы документов которые используют организации.
Образцы подписей,даже людей, которые не занимаются закупками

для вас взломы — это больная тема? В соц сетях вас нет, в интернете только через впн с торами?

Интерес просто

Я лично  вижу в этих ситцациях только одну проблему. Отказываются признавать, что ни паспортные данные, ни другие номерки присовенные мне, ни моя собственоручная подпись не является секретными данными. Никак.
То есть просто надо менять законы, чтобы утекая такие данные не могли иметь юридической силы ни в каких сферах.
Но этого  не делают.