От януари 2019 г. МВР би трябвало да въведе новите лични карти, които вече ще съдържат чип, какъвто се слага отблизо 10 години в международните паспорти. Този път обаче
чипът ще съдържа три компонента
Първият са биометричните данни – снимка и пръстов отпечатък. Вторият е електронният идентификатор – наричан от спецовете е-ЕГН, а третият – електронен подпис. Предвижда се и с електронния подпис да може да се гласува по интернет. Не е ясно колко ще струва този подпис, но самият чип струва 1 евро. Но не в цената е проблемът, а в многобройните проблеми и голямата опасност, която това въвеждане би предизвикало.
Това е част от държавната електронна идентификация, която МВР разработва и която трябва да влезе в сила от 2019 г. на базата на приетия през 2016 г. Закон за електронната идентификация (ЗЕИ). През 2017 г. правителството реши в дейностите по реализиране на Централизираната система за персонализация на български лични документи да бъде включено проектирането и изграждането на Централизирана система за електронна идентификация, а МВР в служебното правителство на Герджиков обяви процедури за над 16 млн. лева. Те трябва да приключат до края на декември тази година и от януари вече да работят. Това обаче става при много мъгляви и разтегливи дефиниции и текстове в ЗЕИ, които
широко отварят вратите за злоупотреби
На първо място – и в ЗЕИ, и в правилника за прилагането му липсва каквото и да е ясно определение на понятието „електронна идентичност”. Така никой не знае какви данни ще се събират за него в съответните центрове и регистри. А щом нещо не е строго дефинирано и е оставена вратичка, наборът от данни може да е твърде голям. С този закон се създава възможност за разпознаване на самоличността в интернет, прави се нещо като електронен ЕГН или електронна лична карта с много повече данни в нея. Това е първата стъпка към въвеждане на електронното гласуване и използването на всички административни онлайн услуги в рамките на т.нар. „електронно правителство”.
Право на електронен идентификатор ще имат всички български граждани и чужденци, навършили 14-годишна възраст, които притежават ЕГН (личен номер на чужденец). Удостоверенията за електронна идентичност ще се издават от министъра на вътрешните работи след писмено заявление и ще важат пет години. Всички притежатели ще бъдат вписвани в специален регистър към МВР, като няма да има пречка един човек да поиска издаване на повече от едно удостоверение за електронна идентичност. Внимателно вглеждане в текстовете на закона и правилника за прилагането му обаче подсказват сериозни проблеми и възможности за злоупотреби.
Законът дефинира два вида структури, които ще оперират с електронната идентичност на хората – центрове за електронна идентификация и администратори на електронна идентичност. На пръв поглед цялата дейност ще се контролира от МВР, а в Държавната агенция „Електронно управление” ще се намира държавният Център за електронна идентификация. Законът обаче лукаво оставя широко отворена врата, като казва, че „функциите на център за електронна идентификация могат да се осъществяват и от други лица, вписани в регистъра”. Тоест центърът може да не е само един, а да са няколко. И няма никакво ограничение те да бъдат само държавни или само български. На практика това означава, че избрани и регистрирани в МВР частни фирми
ще администрират самоличността на хората
и ще извършват проверки коя самоличност на кое лице отговаря.
Въпросните центровете за идентификация ще са ключови структури, тъй като там ще се пазят всички данни за електронната самоличност на гражданите, ще се правят проверките й, включително трансграничните, ще се пази историята на достъпа. Като знаем колко е голям гладът за лични данни от редица мощни корпорации, можем да предположим, че се очаква сериозен инвестиционен интерес… Частни фирми при това ще са не само центровете, но и администраторите на електронна идентичност, които ще издават удостоверения за виртуалното ни Аз. И още един любопитен момент – спирането на удостоверение за електронна идентичност представлява временно преустановяване на силата му по отношение на титуляра, но не означава унищожаване на самата електронна идентичност. Този цифров сбор от данни, който представлява едно лице, веднъж създаден и попаднал в тези регистри, вече не се унищожава и остава там вечно. Така частните центрове могат да владеят неунищожимите данни за електронната самоличност на населението.
В интерес на истината електронни бази данни за населението има и в момента в МВР, в ГРАО, в ДАНС, както и в други служби. Но те са с държавно гарантирана защита, а с новия закон стават собственост на частници и законът им дава правото да ги употребяват – директно се посочва, че центровете и администраторите могат да извършват тази дейност възмездно, както и
да ги ползват за бизнес целите си
И какво от това, че е разписан механизъм за контрол от МВР и обезщетение от 100 000 лв. за злоупотреба с данните? Наличието на Комисия за защита на личните данни да не би да е кой знае каква бариера пред това те да се развяват къде ли не безконтролно и дори да се продават от едни фирми на други? Сега наред са електронните данни, а вероятно и биометричните ни. Симптоматично е, че в закона няма изрична процедура и ограничения, свързани с националната сигурност, което очевидно означава, че възлагането на разработката и поддръжката на базите с данни ще става по обикновен търговски ред, като няма дори и изискване това да става с обществена поръчка. Така е отворена още една вратичка – центрове да бъдат избирани и вписвани от МВР по реда на прякото договаряне (защо не и на четири очи?).
Тези съмнения и опасения имат пряка връзка с друг „болен” въпрос –
предстоящото въвеждане на електронното гласуване
Няма нито една пречка системата за този вот да се изгради и поддържа от същата частна фирма, която е получила съответните системи за електронното управление и за електронната идентификация, превръщайки се по този начин в по-голям монополист на лични данни и от държавните органи. Изборната администрация ще поддържа само регистър на заявилите електронно гласуване избиратели и електронен сайт за вот чрез интернет терминали. Всичко останало остава извън нейните възможности за контрол. Независимо че фирмите ще подлежат на регистрация от МВР, винаги има опасност от пазарлък: за да ти дам лиценз за дейността, ти ми предоставяш базата си при гласуване на избори, примерно. Звучи досущ по Оруел, но няма никакви гаранции, които да го изключват.
Едно от правилата на електронното гласуване, предвидено да се въведе, е възможността да се упражни правото на вот многократно в продължение на четири дни преди изборите, като за валиден ще се приема само последният по време подаден глас. Сега си представете, че тази система
генерира в последните минути масивен вот
А той обръща изборите. И в същото време избирателят си мисли, че е гласувал от вкъщи за избраната партия. Според поправките в Изборния кодекс, с които се въвежда дистанционното електронно гласуване (по интернет), избирателят има право да провери вота си в рамките на отворения за гласуване период от четири дни, но, забележете, „след приключване на гласуването информацията за направения избор става недостъпна”. Да не говорим, че самата възможност за гласуване няколко пъти в продължение на четири дни поставя традиционния и електронния вот в неравностойно положение: гласуването с хартиена бюлетина не може да се изменя и поправя.
Опасността от злоупотреба е огромна и е свързана преди всичко с
две големи групи български граждани
– традиционно нeгласуващите, както и българите, които отдавна живеят в чужбина и са се откъснали от обществения живот у нас. Защото тези хора, или поне преобладаващата им част, едва ли ще тръгнат да проверяват дали от тяхно име не е подаден електронен вот. Дори да приемем, че подобни злоупотреби ще са единични случаи, а не масова практика, рискът от подмяна на вота е налице – особено на местни избори, когато и няколко гласа могат да имат решаващо значение за резултата. Да не говорим за опасенията, че електронното гласуване предоставя в ръцете на търговци с гласове и местни феодали много по-лесен и удобен инструмент за контролиран вот. Подобни съмнения винаги ще са налице, когато самото гласуване се извършва далеч от очите на изборните комисии.
Сега да добавим и друг проблемен момент: ДАНС получи законно право да открива фондации, граждански сдружения и фирми, в които ще работят агенти под прикритие. Те ще ползват фалшиви лични документи, като държавните и общинските органи ще им съдействат с актове за раждане, дипломи и свидетелства за брак. Това не означава ли на практика, че ДАНС ще има възможност да генерира и неограничено количество фалшиви електронни самоличности и с тях да обръща вота в една или друга посока?
Добре известно е, че в света няма толкова сигурна електронна система, която да е 100% защитена от хакери. Засега изглежда, че нито действителните автори на закона – млади съветници на тогавашния вътрешния министър Румяна Бъчварова и програмисти без опит и сериозна представа от държавното управление, нито депутатите, които го гласуваха в този му вид, осъзнават каква врата към злоупотреби с базата данни на населението са отворили, предоставяйки огромни възможности
в ръцете на партии и на неконтролируеми корпоративни субекти
Интересен е и фактът, че Държавната агенция за електронно управление, която заработи от 2016 г. с пръв председател Росен Желязков, на практика е мастодонт с 500 служители с политически кабинет, структура на министерство и с бюджет от общо 300 млн. лв. до 2020 г. За сравнение бюджетът на МВР за 2016 г. е 1,296 млрд. лв. за система, в която работят… 45 260 души.
В предстоящата 2019 г., когато има два пъти редовни избори – напролет за Европарламент и местни избори наесен, и в която се очертават и извънредни парламентарни избори, така заложените в закона опасности могат
да обезсмислят най-демократичния механизъм
– изборите, и да застрашат персоналните данни на цялото население.
Всичко това се случва на фона на затегнатия режим за защита на личните данни с новия Регламент (ЕС) 2016/679, който е в сила за България от 25 май 2018 г. (макар че промените в Закона за защита на личните данни, които да поставят нашето законодателство в съответствие с този регламент така и не е гласуван на второ четене в Народното събрание, а срокът за приемането му отдавна изтече).
В момента по закон издаването на лични карти с електронен чип трябва да започне след по-малко от месец, от 1 януари 2019 г. Преди това срокът бе отлаган няколко пъти и е твърде вероятно това да се случи отново – с нова дата за 2020 г. Първоначално това трябваше да стане през 2016 г., през февруари 2016 г. МВР дори обяви обществена поръчка за „изграждане, поддръжка и експлоатация на централизирана система за персонализиране на български лични документи“ с прогнозна цена от 484 223 300 лв. В тази цена трябваше да се включи и пълна подмяна на системите, машините, софтуера и т.н. по издаването на български лични документи. Търгът обаче беше спрян със заповед на премиера Бойко Борисов и парите бяха пренасочени към по-скъпите проекти за два лота на магистрала „Хемус“.
През 2016 г. все пак беше приет Закона за електронната идентификация, който дълго беше бавен между първо и второ четене по нареждане на председателя на ПГ на ГЕРБ Цветан Цветанов.
Изглежда, самият Цветанов имаше колебания
около електронната идентификация и под негов натиск все пак от закона изпадна изискването за чипове в личните карти. Срокът предвиждаше поетапното въвеждане на електронни лични документи да започне от началото на 2018 г.
В същото време през май 2017 г. МВР със служебен министър Пламен Узунов обяви нов търг – за близо 16 млн. лв. за „Реализиране на национална схема за електронна идентификация“, но вторият кабинет „Борисов“ отново прекрати и тази поръчка през ноември 2017 г. и стартът беше отложен за януари 2019 г.
През август т.г. МВР отново обяви обществена поръчка за проектиране, изграждане и управление на системата за новите лични карти с чип на стойност близо 286 млн. лв. Този път срокът е началото на 2020 г. Бъдещият изпълнител ще трябва да изгради и цялостната система за електронна идентификация в страната.
Поръчката предвижда отсяване на кандидатите на два етапа – на първия етап те подадоха оферти до 5 октомври т.г. От сайта на МВР стана ясно, че това са 4 фирми – консорциум „Дермалог – АНИ БГ“, немската „Веридос“ ГмбХ, френската „IN GROUPE (IMPRIMERIE NATIONALE) & GEMALTO“, и обединение „Мюлбаер Ай Ди Сървисиз ГмбХ – С&T“, в което първата фирма е немска, а втората – българска. Фирмата изпълнител все още не е определена.
Поредното отлагане
този път се прави през друг закон – преходните и заключителните разпоредби на Закона за преминаването през и пребиваването на територията на Република България на съюзнически и на чужди въоръжени сили. Той вече бе разгледан на първо четене от две парламентарни комисии – по отбрана и по вътрешен ред, и е внесен от Министерския съвет. В него се въвежда нов документ – карта на служител в структура на НАТО и на зависимо лице на такъв служител. Това се налага заради изграждането на център на Алианса в България. В доклада към закона се обяснява, че тази карта на практика не може да се издаде, защото не е предвидена бланка за нея според договора с фирмата, правеща български лични документи, сключен през 2016 г. Такава бланка се предвижда да бъде изготвена при провеждане на процедура за избор на изпълнител по обществената поръчка за новите български лични документи.
Според МВР издаването на тези паспорти може да започне най-рано в средата на 2020 г. след пускане в експлоатация на новата система за български лични документи. А към реално издаване на личните карти с чип ще се пристъпи 19 месеца след сключването на договор с изпълнител по обществената поръчка с предмет „Проектиране, изграждане и управление на Система за издаване на български лични документи поколение 2019“, която (както стана ясно по-горе) към момента не е финализирана поради обема и сложността й.
Непрекъснатите отлагания обаче не решават въпроса, защото проблемните текстове в ЗЕИ не се променят, няма и промени в Изборния кодекс, които да избегнат възможните злоупотреби. Определянето на фирмите, които ще бъдат администратори на електронни идентификатори, най-вероятно ще стане още в началото на 2019 г. Особено предвид задаващите се избори.
А е добре известно, че който е на власт в момента, когато се определят частните фирми – администратори на системите, той има шанс да остане във властта за дълго.
Какви опасности крие е-гласуването
Гласуване по интернет в пълния му вид има само във Франция и Естония. И понеже напоследък за всяко нещо у нас се дава за пример Германия, нека се има предвид, че Конституционният съд в Берлин през 2009 г. обяви електронното гласуване за противоконституционно. Най-важните аргументи в мотивите дават отговор и на посочените опасности в българския Изборен кодекс:
• Конституционният принцип за откритост на изборите задължава съществените етапи от изборния процес и определянето на резултатите да могат да бъдат наблюдавани и проверявани от граждани без специализирани познания.
• При традиционните избори с използване на хартиени бюлетини при спазване на установените изисквания злоупотребите са редки и възможни единствено със значителни усилия, при значителен риск от разкриване, което има съществен превантивен ефект.
• Програмните грешки в софтуера за гласуване или умишлената изборна измама чрез манипулиране на софтуера трудно могат да бъдат установени. Широкообхватният ефект на възможните грешки в машините за гласуване или на умишлената изборна измама налагат необходимостта от изключителни мерки за гарантирането на открития характер на изборите.
• Гласоподавателите трябва да имат възможност лично да се уверят дали техните гласове са получени и преброени без промени, както и да могат да бъдат повторно преброени на по-късен етап, като това не трябва да изисква каквито и да били специализирани познания, защото възможността за проверка на съществените стъпки в процеса на гласуване създава оправдано доверие в законността на изборите.
• Ограниченията на възможността гражданите да проверят как е отчетен гласът им не могат да бъдат компенсирани от официална институция. Дори всеобхватни и разнообразни технически и организационни мерки за сигурност не са достатъчни, за да компенсират липсата на възможност съществените стъпки в процеса по гласуване да бъдат проверени.
Коментарите подлежат на модериране.
Правилата за коментиране