Снимка

СТАНОВИЩЕ ПО ПРОЕКТ НА ЗАКОН ЗА ЕВРОПЕЙСКИЯ ПОРТФЕЙЛ ЗА ЦИФРОВА САМОЛИЧНОСТ

ДО

МИНИСТЕРСТВО НА ЕЛЕКТРОННОТО УПРАВЛЕНИЕ

На вниманието на: г-н Георги Шарков, Министър на електронното управление


СТАНОВИЩЕ ПО ПРОЕКТ НА ЗАКОН ЗА ЕВРОПЕЙСКИЯ ПОРТФЕЙЛ ЗА ЦИФРОВА САМОЛИЧНОСТ


ОТ

Сдружение „БЪЛГАРСКАТА ПРЕДПРИЕМАЧЕСКА АСОЦИАЦИЯ" (BESCO), вписано в Регистъра на юридическите лица с нестопанска цел, воден от Агенцията по вписванията, с ЕИК 177239971, представлявано от Изпълнителния директор Александър Нуцов


УВАЖАЕМИ Г-Н ШАРКОВ,

УВАЖАЕМИ ДАМИ И ГОСПОДА,


Представям становището на Сдружение „БЪЛГАРСКАТА ПРЕДПРИЕМАЧЕСКА АСОЦИАЦИЯ" (BESCO) относно Проект на Закон за Европейския портфейл за цифрова самоличност с Номер на консултация 12172-K.


Българската предприемаческа асоциация обединява над 1000 компании от десетки индустрии. Основната мисия на организацията е подобряване на бизнес средата в България чрез ефективни политики, насърчаване на иновациите и въвеждане на съвременни механизми за икономическо развитие.


На първо място изразяваме принципната си подкрепа за логиката на предложените разпоредби. Особено съществено е, че се регламентира възможност за множество доставчици на портфейли, включително частни, а не само държавен. Този подход следва да бъде запазен и доразвит, тъй като именно възможността за избор между различни решения е предпоставка за иновации и по-добро качество на услугите.


В този контекст, изискването държавният портфейл да осигурява интеграция с всички квалифицирани доставчици на удостоверителни услуги при равнопоставени, прозрачни и недискриминационни условия също се оценява положително.


Също така, използването на RegiX като централизирана среда за достъп до данни от публичния сектор е правилно решение, което следва да бъде подкрепено, тъй като създава ефективна инфраструктура и минимизира административната тежест за множество двустранни интеграции с различните институции.


Важен елемент е и създаването на предвидима и бърза процедура за регистрация на доставчици на портфейли, което е ключово за навлизането на нови участници и за избягване на административни бариери пред пазара.


Предвиденият модел за безплатно използване на квалифициран електронен подпис за непрофесионални цели също е в съответствие с европейската политика за достъпност на цифровите услуги. Този модел обаче следва да бъде прилаган по начин, който не създава скрити предимства за определени участници.


Особено важно е да се подчертае значението на признаването на сертификати и оценки за съответствие, издадени от органи в други държави членки. Ограничаването до изцяло национална сертификация би създало реална бариера за навлизане на доставчици и би поставило под риск практическото функциониране на системата.


В обобщение, проектът поставя правилната основа, но неговият успех ще зависи от това дали ще бъдат реално гарантирани принципите на конкуренция, технологична неутралност и равнопоставен достъп, а не само формално декларирани.


Наред с посочените положителни аспекти следва да се отбележи, че в настоящата си редакция законопроектът съдържа и редица въпроси, които изискват допълнително прецизиране. Част от предвидените решения създават риск от практическа неприложимост, технологични ограничения или неравномерно въздействие върху участниците в екосистемата. В отделни случаи са налице и предпоставки за затруднения при трансграничното използване на портфейла или за отклонение от принципите на технологична неутралност и равнопоставеност. С оглед на това, по-долу са изложени основните идентифицирани проблемни аспекти, както и предложения за тяхното преодоляване, с цел постигане на по-устойчива, ефективна и съвместима с европейската рамка уредба.


1. Липса на компенсационен механизъм за електронна идентификация и риск от нарушаване на конкурентната среда

Законопроектът правилно допуска възможност да има не само държавен портфейл за цифрова самоличност, но и частни, тоест създадени и поддържани от частни доставчици, като по този начин се създават предпоставки за наличие на избор за потребителите, което е в съответствие с принципите на европейската рамка за цифрова идентичност. Въпреки това се създава риск от дисбаланс между различните доставчици. В законопроекта механизъм за компенсация е предвиден единствено по отношение на активирането на безплатно подписване с КЕП за непрофесионални цели, докато липсва аналогичен подход за компенсиране на разходите за услуги за електронна идентификация и удостоверяване чрез частни еИД схеми (PID провайдъри) и/или частни портфейли при използване за публичния сектор и/или за предоставяне на услуги, които по закон зависят от строго удостоверяване.


Това е съществен пропуск, тъй като именно идентификацията представлява базовата функционалност, върху която се изграждат всички останали услуги в рамките на портфейла. При липса на механизъм за компенсиране на разходите за идентификация/удостоверяване, частните доставчици на еИД схеми и портфейли ще бъдат поставени в по-неблагоприятна икономическа позиция спрямо държавата като доставчик на портфейл. Това може да доведе до ситуация, при която формално съществува избор, но на практика пазарът се консолидира около държавното решение поради по-добрата му икономическа обезпеченост. Следва да се отчете и че изискванията към доставчиците на данни за идентификация – включително предоставяне на данни в реално време, поддържане на високи стандарти за сигурност и съответствие – предполагат постоянни разходи. Без механизъм за тяхното покриване съществува риск от ограничаване на участието на частни субекти.


С оглед на горното, следва да се обмисли въвеждането на балансиран, пропорционален и прозрачен компенсаторен механизъм и за услугите по електронна идентификация, поне в случаите на тяхното използване за публични услуги или при законово изискване за високо ниво на удостоверяване.


Във връзка с изложеното, предлагаме създаване на нова алинея 10 в чл. 5:

(5) Държавата заплаща на частните доставчици на данни за идентификация на лица компенсация за всяка идентификация за нуждите на портфейла съгласно методиката по чл. 4, ал. 8.



2. Относно модела за компенсиране при отдалечено подписване с КЕП за непрофесионални цели

Съгласно чл. 4, ал. 6 от Законопроекта:

„За осигуряване на възможност за създаване на квалифициран електронен подпис за непрофесионални цели чрез портфейла по чл. 4, ал. 1, на потребителя се издава едно квалифицирано удостоверение за квалифициран електронен подпис с валидност една година, който позволява неограничен брой подписвания в рамките на срока на валидност."


Съгласно чл. 4, ал. 7 от Законопроекта:

„Държавата заплаща на квалифицираните доставчици на удостоверителни услуги, интегрирани в портфейла по чл. 4, ал. 1, фиксирана компенсация за всяко издадено по ал. 6 квалифицирано удостоверение, независимо от броя на извършените подписвания чрез него."


Законопроектът предвижда механизъм, при който чрез държавния портфейл на потребителя се издава едно квалифицирано удостоверение с валидност от една година, позволяващо неограничен брой подписвания, като компенсацията от страна на държавата е обвързана с издаването на удостоверението, а не с действителното му използване, тоест броя на подписвания.


Този модел обаче не отразява актуалните технологични решения, използвани при отдалеченото подписване. В момента се наблюдава преминаване към динамични процеси, при които за всяка конкретна операция на подписване се генерират еднократни криптографски ключове и се издават краткосрочни удостоверения в реално време. Такива подходи се прилагат именно поради по-високите изисквания за сигурност и защита на личните данни. Също така в Европа няма технологична сертификация на смарт устройство, чийто криптомодул да е сертифициран за квалифицирано устройство за създаване на квалифицирани електронни подписи, така че да може да се издават дългосрочни квалифицирани удостоверения за квалифициран електронен подпис, при което частният ключ да се записва на такова квалифицирано устройство.


В този смисъл, регламентирането на един конкретен модел – базиран на дългосрочно удостоверение с едногодишна валидност – създава риск от ограничаване на възможните технологични решения и несъответствие с преобладаващите практики – краткосрочни/еднократни удостоверения и ключове по съображения за сигурност и/или поверителност. Подобен подход може да се окаже неприложим или да наложи изкуствено адаптиране на решенията към нормативната уредба.


Следва да се има предвид, че европейската нормативна рамка не налага конкретен модел за удостоверяване или компенсация, а оставя на държавите членки да определят подход, който е технологично неутрален и икономически обоснован. В тази връзка е целесъобразно националната уредба да допуска различни модели за отдалечено подписване, включително такива, базирани на краткосрочни удостоверения и транзакционен принцип.


Във връзка с горното, предлагаме:


1. Отмяна на чл. 4, ал. 6;

2. Изменение на чл. 4, ал. 7 по следния начин:


(7) Държавата заплаща на квалифицираните доставчици на удостоверителни услуги, интегрирани в портфейла по чл. 4, ал. 1, фиксирана компенсация за всяко активирано спрямо съответния интегриран квалифициран доставчик на удостоверителни услуги за отдалечено подписване.


3. Промяна на надзорния орган

Законопроектът възлага на министъра на електронното управление две роли едновременно – от една страна да създава и поддържа държавния портфейл, а от друга да осъществява контрол върху всички доставчици на портфейли. Това създава риск от конфликт на интереси, тъй като един и същ орган упражнява надзор върху собствената си услуга, при положение че на пазара се допускат и частни доставчици. В такава ситуация не може да се гарантира пълна равнопоставеност между участниците. Предлагаме правомощията на надзорен орган да бъдат възложени на Комисията за регулиране на съобщенията, която вече осъществява надзор върху доставчиците на удостоверителни услуги. Подобна промяна би осигурила приемственост в нормативната уредба и съответствие с установената вече в България регулаторна практика.


4. Промяна на легалната дефиниция за „непрофесионална цел"

Регламентът предоставя на държавите членки възможност да определят обхвата на непрофесионалните цели, за които се осигурява безплатно подписване. Обосновано е тя да бъде ограничена до случаи, свързани с достъп до електронни административни услуги. Разширяването ѝ към частноправни отношения, включително такива с материален интерес, би довело до неоснователно субсидиране на частни дейности за сметка на публични ресурси, което не съответства на целите на Регламента.


Предлагаме изменение в § 1, т. 2 от Допълнителните разпоредби, както следва:

„непрофесионална цел" – е активиране на функционалност за отдалечено подписване на ЕПЦС с квалифициран електронен подпис за ползване на електронни административни услуги, предоставяни от административните органи.



5. Дефиниране на доставчици на данни за идентификация

В проекта липсва ясно определение кои лица могат да изпълняват ролята на доставчици на данни за идентификация. Логично е това да бъдат доставчиците на уведомени схеми за електронна идентификация с ниво на осигуреност „високо", които са преминали процедура по проверка на европейско ниво и са вписани в Официалния журнал на Европейския съюз. Наред с тях, следва да се допуснат и доставчици по схеми, които не са уведомени, но са проверени в рамките на сертификацията на конкретен портфейл за киберсигурност. В тези случаи е необходимо орган по оценяване на съответствието да е удостоверил, че съответната схема отговаря на изискването за ниво на осигуреност „високо".


Така се гарантира както съответствие с европейската рамка, така и възможност за гъвкавост и развитие на допълнителни решения в екосистемата на портфейлите.


Предлага се създаване на нова т. 11 в Допълнителните разпоредби:

11. „Доставчици на данни за идентификация на лица" са доставчиците на уведомени схеми за електронна идентификация с ниво на осигуреност „високо" и доставчиците на схеми за електронна идентификация, които осигуряват данни за идентификация за нуждите на портфейла, ако в рамките на проверката на портфейла за киберсигурност е удостоверено ниво „високо".



6. Други предложения:

С оглед прецизиране на разпоредбите на Законопроекта предлагаме:


6.1. Чл. 3, ал. 4 да се измени, както следва:

(4) Доставчиците на европейски портфейли за цифрова самоличност осигуряват на физическите лица безплатна възможност за активиране на отдалечено подписване с квалифициран електронен подпис, когато действат с непрофесионална цел.


Нормата следва да бъде насочена към доставчиците на портфейли, тъй като именно те изграждат и поддържат портфейлите и носят съответните задължения по закона. Портфейлът сам по себе си не е правен субект и не може да бъде адресат на задължения. Доставчиците на портфейли не издават квалифицирани удостоверения за електронен подпис и не могат да гарантират самото подписване. Те единствено осигуряват техническата възможност за активиране на отдалечено подписване чрез интеграция с квалифицирани доставчици на удостоверителни услуги.


6.2.Чл. 10, ал. 4 да се измени, както следва:

(4) По искане на потребителите на портфейла, доставчиците на данни за идентификация на лица са длъжни да предоставят на доставчиците на портфейли в реално време, в машинно четим формат всички техни лични данни, които са необходими за портфейла съобразно референтните стандарти.


В действащата редакция разпоредбата е формулирана твърде широко, като създава впечатление за задължение за предоставяне на всички лични данни на лицата. Предоставянето на данни следва да се извършва единствено по изрично искане на потребителя, изразено чрез функционалност на портфейла, която удостоверява неговото съгласие. По този начин се гарантира, че се обменят само необходимите данни и се спазват изискванията за защита на личните данни.


6.3. В чл. 13, ал. 1 да се създадат нови т. 5 и 6, както следва:

5. Списък на доставчиците на удостоверения за достъп;

6. списък на доставчиците на регистрационни удостоверения.


От разпоредбите на Регламента и т. 3.5 от Архитектурната рамка на ЕС следва, че тези два вида списъци са съществен елемент от инфраструктурата на портфейлите.


6.4. Да се отмени чл. 11, ал. 7:

Режимът за вписване на квалифицирани доставчици на удостоверения за атрибути е уреден на ниво европейско право и в Закона за електронния документ и електронните удостоверителни услуги. Макар да не създава противоречие, подобно дублиране е излишно и създава риск от бъдещи несъответствия при изменения в действащата правна рамка. Поради това разпоредбата може да отпадне с оглед по-добра нормативна техника.


7. Относно предложените изменения в Закона за електронното управление, направени с Преходните и заключителни разпоредби (ПЗР) на Законопроекта


7.1. Отмяна на § 3, т. 2 от ПЗР на Законопроекта


Идентификацията при използване на електронни административни услуги има различна функция от подписването на волеизявления, при които трябва да се гарантират тяхната цялост, автентичност и правна обвързаност. Тези характеристики се осигуряват именно чрез електронния подпис. Поради това не следва чрез закон да се въвежда правило, при което идентификацията се приравнява на подписване.


7.2. Отмяна на § 3, т. 3 от ПЗР на Законопроекта


С § 3, т. 3 от ПЗР на Законопроекта се предлага изменение в Закона за електронното управление, като се въвежда изискване удостоверенията за електронен подпис да съдържат изрично името на титуляря и уникален идентификатор, за да могат да се използват при електронни административни услуги. Това поражда няколко съществени практически и правни въпроса.


На първо място, понятието „уникален идентификатор" в България обикновено се свързва с ЕГН или ЛНЧ. При подобно тълкуване би се създала реална пречка за граждани на други държави членки, които не разполагат с такъв идентификатор, да използват своя квалифициран електронен подпис за достъп до услуги в България.


На второ място, самото удостоверение за електронен подпис по принцип не съдържа всички данни, необходими за надеждна идентификация в трансграничен контекст. Европейската рамка за електронна идентификация изисква минимален набор от данни, който включва не само име, но и дата на раждане и устойчив идентификатор, определен от държавата по произход. Поради това електронният подпис не може да се разглежда като пълноценен заместител на електронната идентификация, а смесването на тези две функции може да доведе до грешки при идентификацията или до отказ за предоставяне на услуги.


Допълнително, удостоверението за електронен подпис представлява статичен елемент с определен срок на валидност, докато съвременните модели за електронна идентификация, включително в рамките на портфейла, разчитат на достъп до актуални данни в реално време. Това е от съществено значение, тъй като част от идентификационните данни могат да се променят.


В този контекст следва да се отчете и че европейската рамка поставя акцент върху използването на портфейла като основно средство за електронна идентификация, като достъпът до услуги чрез него се осъществява по инициатива на потребителя, а публичният сектор е задължен да го приема. Поради това въвеждането на допълнителни национални изисквания към удостоверенията за електронен подпис създава риск от нови бариери пред трансграничното използване на услугите и отклонение от целите на европейското законодателство.


Следователно предлагаме отмяна на § 3, т. 3 от Преходните и заключителни разпоредби на Законопроекта.


Надяваме се направените предложения да бъдат взети под внимание.


С уважение:

Александър Нуцов

Изпълнителен директор

Why did BESCO create Leadership & Advocacy Academy?

Leadership & Advocacy Academy doesn’t only develop individual participants. For BESCO, it is a long-term investment in a stronger ecosystem - building capacity where it matters most: within the organizations, institutions, and communities that shape the public environment.