Законът за електронната идентификация (по който работихме през с колеги в кабинета на г-жа Бъчварова) вече е внесен в парламента. Целият текст можете да видите тук. Най-долу в документа са и мотивите, едни от които е създаване на практически правила за приложение на Регламент 910/2014 на Европейския парламент.

Но четенето на закони е скучно, дори четенето на мотиви е скучно, затова ще дам малко разяснения с практическа насоченост (които се надявам да са малко по-малко скучни).

Какво е електронната идентификация – начин за идентифициране на гражданите в електронна среда. Т.е. когато държавата (или бизнесът) се налага да знае с кого точно си комуникира онлайн, електронната идентификация дава тази възможност. Има две понятия, които често се използват паралелно – „електронна идентификация“ и „електронна идентичност“. Второто звучи страшно, но всъщност значи просто електронното представяне на физическата ни идентичност. Не мисля, че има смисъл да навлизаме във философски разсъждения – важното е, че човек има само една идентичност, а електронната такава е само нейно „огледало“ в електронния свят. А идентификацията е процеса по еднозначното установяване на физическо лице. А юридическите лица се идентифицират чрез законните си представители, които са физически лица.

Често „електронна идентификация“ и „електронен подпис“ се бъркат, особено поради факта, че до момента подписът е използван и за идентификация. В хартиения свят идентификацията е аналогична на това да си покажем личната карта на някого, а подписът е саморъчният подпис. Технологично двете могат да бъдат реализирани по един и същи начин, но има съображения, поради които е добре да бъдат разделени.

Как ще изглежда електронната идентификация от гледна точка на гражданите. От момента, в който проектът по изграждането на инфраструктурата завърши (около края на лятото догодина), на гражданите ще могат да се издават карти за електронна идентификация на отделен носител. Такива те най-вероятно ще получават срещу символична сума (или безплатно) при подновяване на личните си карти. Картите ще съдържат чип. След април 2017-та (записано в изменителните разпоредби на закона) чипът ще влезе и в личните карти.

Важно е да се отбележи, че законът не дефинира носителя – той може да е карта, но може и да е мобилен телефон или всякакво друго устройство, което съдържа или има свойствата на криптографска смарткарта. Начините да се реализира това са два – единият (австрийският) е мобилният телефон да служи само за отключване на сертификатите, които стоят на отдалечен сигурен модул (HSM), и в които се извършват криптографските операции. Другият вариант е естонския, при който SIM-картите на телефоните се „upgrade-ват“, така че да могат да оперират с двойка криптографски ключове. Това, и още няколко технологични решения все още не са взети, и очакваме техническа дискусия по въпроса.

След като имаме карта, какво можем да правим с нея? Нищо. Трябва ни четец. Четците са сравнително евтини (15 лв при ниското търсене в момента), а например в Естония могат да се намерят в супермаркети. Тук все още ги няма в супермаркети, но има откъде да се купят. А след като имаме четец, ще можем да се идентифицираме пред всяка институция (вкл. пред частни компании) и да получавате услуги онлайн. Идеята е, че всяка институция решава как гражданите ще получават достъп до услугите ѝ, но задължително трябва да поддържат националната схема, дефинирана в закона. Така че притежаването на средство електронна идентификация означава, че ще може да ползвате всички услуги. И няма да се налага да получавате ПИК, ПИН, няма да има нужда да си купувате електронен подпис и други. Всъщност, последното не е напълно вярно, защото в зависимост от случая, електронен подпис все още ще е необходим. За подписване на документи, там, където се изисква саморъчен подпис в хартиения случай. На пръв поглед изглежда, че с идентификацията ще можете само да правите справки, но заявления за услуги също ще е възможно да се подават така (освен ако администрацията изрично не изисква КЕП). Само че и електронен подпис ще можете да получите заедно с личната си карта (също дефинирано в закона), от доставчик по избор – той просто ще записва удостоверението за електронен подпис и ключовете на същата карта (срещу съответната такса, която обаче върви надолу). Удостоверението за електронна идентичност в картата ще се получава подразбиране (opt-out, освен ако изрично не се откажем), докато електронен подпис – само при изрично поискване (opt-in).

Законът дефинира два структурни компонента – „център за електронна идентификация“ и „администратор на електронна идентичност“. „Администратор“ е (грубо казано) всеки, който може да приема заявления за издаване на удостоверения за електронна идентичност и да предава тези заявления на МВР, като след това си получаваме картите при администратора. Например консулските служби могат да бъдат администратори, така че българите в чужбина да могат да заявяват картите си и да го получават, без да се разхождат до България.

Центърът за идентификация, от друга страна, е нещо по-специфично. През него минават всички опити за идентификация. Тук е важно и да „разбия“ един мит – в самата карта ще има само електронен идентификатор, уникален за всеки гражданин. Няма да има никакви данни (освен имена, може би дата на раждане и важна медицинска информация, като кръвна група) – всички данни ще се вземат в реално време, след успешна идентификация. Т.е. с вашия браузър правите заявка към центъра за идентификация, той проверява дали картата ви е истинска, дали не сте под запрещение, дали собственикът на картата е жив (а някой друг прави опит да я ползва), след като ви препраща на сайта на доставчика на услугата, който получава начин да прочете данни за вас (но само тези, до които има право по силата на закон) и записва идентификатор, с който следващия път също да може да ви идентифицира. Това може да е серийния номер на удостоверението или самия електронен идентификатор, или пък ЕГН (ако има достъп до него), е технологично решение, което не следва от закона.

Центърът за идентификация изглежда ненужен на пръв поглед, защото идентификацията може да извършите директно към доставчика на услугата, който да получи достъп до данните ви. Само че той е важен по няколко причини. Първата е, че (според закона) е длъжен да пази историята на достъпа. Т.е. винаги може да проверите кога сте ползвали електронната си идентификация, и дали случайно някой не я е ползвал от ваше име. Също така, центърът ще е единната входна точка за трансгранични проверки – ако вие, с вашата карта, искате да се идентифицирате за ползване на услуга в друга страна от Европейския съюз, то тя е длъжна да приеме вашата карта и да изпрати запитване до българския център за съответните данни за вас, от които има нужда. И не на последно място – бизнесът, чрез свои асоциации, например, ще може да инвестира в изграждане на свои центрове, така че да не зависи от държавния (на който може да трябва да плаща такса).

Бизнесът ще може да се възползва от тези карти както реши. При банкиране, при промяна на договор с мобилен оператор, или при купуване на билети за пътуване. Тук е важно да отбележим възможността за „анонимна идентификация“. Ако някоя услуга (например ако можете да ползвате картата си като карта за градски транспорт) няма нужда от никакви данни за вас, а просто да може да ви идентифицира уникално, то тя може и да няма нужда да минава през центъра за идентификация и да иска данни за вас.

Много важен аспект на закона е технологичната му неутралност. Опитахме се да премахнем всякакви предпоставки за избор на едно или друго технологично и архитектурно решение. Защото това кое технологично решение е правилно се променя по-често, отколкото законовата рамка.

Ключов аспект е ползваемостта. Съществуващите решения за идентификация с електронен подпис са ужасни за използване – искат точно определен браузър (Internet Explorer) или пък използват Java applet-и, които в последните версии на браузърите или са забранени, или се пускат трудно и на няколко стъпки. Затова, въпреки че пилотният проект за електронна идентификация, базиран на австрийския проект, разчита на Java applet, законът не предразполага към това. След разговори с ръководителя на австрийския проект, установих някои сериозни минуси на тяхната реализация, които ще опитаме да избегнем. Засега идеята е да се използва стандартната функционалност на браузърите за вход със сертификат (SSL client auth), но дискусия предстои.

Още един аспект са електронните овластявания. Ако имате електронен подпис, ще може да упълномощите някого електронно, без да се налага нотариално заверено пълномощно.

При техническите дискусии ще вземем предвид и електронното гласуване – дали реализацията ще позволява електронно гласуване със запазване на тайната на вота (каквито начини съществуват). Това е доста дългосрочно, но е добре да бъде заложено отсега. Самото наличие на електронна идентификация е основна предпоставка за електронно гласуване, защото гарантира 1 човек – 1 глас в електронния свят.

За накрая съм оставил може би един от най-важните аспекти – личните данни и „следенето“. С откъслечната информация по медиите напълно разбираеми са притесненията, че държавата става Big Brother. Истината е, че държавата вече има всички данни за нас. Т.е. тя има нашия „профил“ (а на картата данни няма). Електронната идентификация обаче ни дава възможност (особено след промените и в закона за електронното управление, които подготвяме) да следим кой и защо получава достъп до тази информация за нас, както и да я коригираме или дори изтриваме. Дали след 10 години някой няма да направи използването на картата задължително за влизане в магазин, на концерт, и т.н., под претекст, че това улеснява проверката за възраст или продаването на билети? Възможно е – но както законът, така и ние като общество, дефинират какви данни държавата пази за нас и какви не. Тук ще дам един интересен пример – САЩ и Великобритания нямат лични карти. Не такива с чип, а изобщо нямат лични карти. Уж за да не може държавата да следи гражданите. В същото време САЩ и Великобритания са точно държавите, които най-много следят гражданите си, по всевъзможни начини. Наличието на карта с чип е както улеснение, така и средство да защитим данните си. Да, улеснява държавата в събирането им, но дали ще го прави или не, не зависи от картата. Или ако мога да използвам понятията на Оруел – Big Brother не е телекранът – телекранът може да бъде счупен или спрян. Big Brother е това, което ни кара да не спрем телекрана.

Надявам се да съм обяснил как ще работи електронната идентификация и какви ще се плюсовете от нея. И че всъщност тя ще е доста важен компонент за въвеждането на истинско електронно управление.

П.П. Участие по темата в BiT

Share Button