Новият режим на експортния контрол в ЕС и страните членки
В тези тревожни дни особено актуално звучене придобива един регламент на ЕС, насочен към контрола на изделията с двойна употреба, към които вече спада и, например, силно криптиращия софтуер, софтуерът за проникване и определени видове информационни технологии. Нашумелият през лятото скандал със софтуера за прихващане и следене Pegasus, който се инсталира и активира незабелязано на крайните устройства на мишената и проследява и предава на сървъра на инсталиращия всички нейни съобщения и съдържанието, което се разглежда на това устройство ни накара да се замислим за понякога смъртоносните качества на технологиите (например в контекста на убийството на журналиста Хашоги). Софтуерът, наистина, сам по себе си, не убива. Но спокойно може да бъде използван за осъществяване на шпионаж, разрушения, смърт, информационна война и кибер заплахи.
На този фон идва действащият от септември миналата година на територията на Съюза Регламент на ЕС 2021/821 за въвеждане на режим на Съюза за контрол на износа, брокерската дейност, техническата помощ, транзита и трансфера на изделия с двойна употреба ("Регламентът"). "Двойна употреба" в случая обхваща изделия и услуги с гражданско предназначение, които обаче могат да бъдат използвани във военни и паравоенни конфликти.
Какво предвижда Регламентът в частта относно софтуера и технологиите?
- Предметен обхват
В разширения обхват на новия Регламент е включен като обща категория изделие с възможна двойна употреба криптиращия софтуер, софтуерът за проникване и всякакви изделията за кибернаблюдение (тук би попаднал и горепосочения софтуер Pegasus). Отделно, всеки софтуер, обслужващ някоя от другите категории изделия с възможна двойна употреба – например, ядрените технологии – по подразбиране подлежи и на експортен контрол. Обособени са нови части, посветени, съответно на Електроника, Компютри, Телекомуникации, Информационна сигурност, Сензори и лазери.
- Видове трансфер – обект на контрол
Наред с традиционното понятие за износ по смисъла на Митническия кодекс на ЕС – извеждане от митническата територия на Съюза, операциите, свързани с всякакво предаване по електронен път на поставените под режима на изделията с двойна употреба софтуер и технологии, включително устното им описание, предавано по такъв начин, попадат също в обхвата на разрешителния режим. Освен износа и електронното предаване, Регламентът обхваща и пасивното усъвършенстване (преработка извън митническата територия на ЕС) и реекспорта (стоки с произход извън ЕС, при извеждането им от митническата територия на ЕС).
- Предоставянето на техническа помощ като обект на контрол
За да е пълноценен ефектът от мерките, въвеждани с Регламента, неговият обхват значително надгражда и разширява контрола по отношение на така наречената техническа помощ, най-често известна като поддръжка и разработване в областта на софтуера и технологиите. Известно е, че България по – рядко се проявява като развоен център, но много по-често е логистечен такъв за предоставяне на именно такава техническа помощ по отношение на информационните технологии, включително в контекста на сорсинг услугите. Ето защо би било редно българският законодател, при съобразяване на изискванията на Регламента, да обърне особено внимание на тази част от него. "Техническа помощ" е дефинирана в Регламента като "всякакво техническо подпомагане, свързано с поправяне, разработване, производство, сглобяване, изпитване, поддръжка или всякакво друго техническо обслужване, и може да бъде под формата на инструктаж, съвети, обучение, предаване на работни познания или умения или консултантски услуги, включително по електронен път, както и по телефона и чрез други устни форми на оказване на помощ". За доставчици на техническа помощ по смисъла на Регламента се счита всяко физическо или юридическо лице, което предоставя такава от територията на държава членка на територията на трета държава.
Регламентът предвижда възможност за въвеждане на разрешителен режим по инициатива на компетентния орган, съгласно национално законодателство или по инициатива на съответния доставчик (задължение да предприеме такава съществува, ако същият знае, че техническата помощ обслужва изцяло или частично изделия с двойна употреба) по отношение на доставчиците, предоставяща такава помощ по отношение на софтуер или технологии с възможна двойна употреба. За да илюстрираме точно какъв ефект би могло да има това върху IT услугите, предоставяни от български компании, можем да си припомним отново случая със софтуера Pegasus. При досегашния режим споменаваната във връзка с поддръжката на този софтуер българска компания не би следвало да бъде обхваната поради много по-тесния предметен обхват. От сега нататък националните закони ще трябва да предвидят режим, който да уреди предварителен и/или инцидентен контрол на българските власти по отношение на тези случаи.
- Взаимодействие между износители и контролни органи
Регламентът създава възможност за държавите членки да създадат разрешителен режим по отношение на изделията за кибернаблюдение, който може да се простира от селективен контрол на компетентния орган до нарочно национално законодателство. Към изделията за кибернаблюдение спадат софтуерните или хардуерни устройства, които следят поведението на системата или текущите процеси в дадено устройство, каквито са продуктите за антивирусна защита, за защита на крайни устройства, за защита на лични данни, системите за откриване на проникване, както и системите за предотвратяване на проникване или защитни стени (firewalls).
Регламентът създава и задължения за износителите, "които знаят", че изделията за кибернаблюдение, по отношение на които те извършват гореописаните действия, например електронно предаване или износ, могат да бъдат използвани за "вътрешни репресии" и/или "за извършване на сериозни нарушения на правата на човека и международното хуманитарно право". Знанието в случая предполага и задължава износителят да извърши проверка, на която да стъпи, за да направи съответните изводи. По тази причина изглежда невъзможно в момента по законен начин да се изнасят или препредават изделия за кибернаблюдение от територията на ЕС, освен ако износителят не е направил проверка, която убедително демонстрира, че няма възможност тези изделия да попаднат в ръцете на авторитарни лидери или зони на военен конфликт. Аналогичен режим се прилага към брокерските услуги по отношение на изделията с двойна употреба.
- Изключения от обхвата – софтуерната конфекция
Важно е да се отбележи, че софтуерът за масова употреба като правило няма да попадне в разрешителния режим на Регламента, изключение правят обаче софтуерните продукти или продуктите, притежаващи функции, насочени към информационната сигурност. Съгласно Регламента, "информационна сигурност" са всички средства и функции, осигуряващи достъпността, конфиденциалността или целостта на информацията или комуникациите, с изключение на средствата и функциите, предназначени за защита от отказ. Това включва "криптография", "криптографско активиране", "криптоанализ", както и защита срещу вредни излъчвания и компютърна сигурност.
- Разделянето на технологиите или софтуера на съставни части не избягва приложението на разрешителния режим
Регламентът предвижда и мерки срещу заобикалянето си чрез разчленяване на изделията или – в случая на обектния код, съществуващ като софтуер или фърмуер (софтуерни компоненти, вградени в хардуера и обезпечаващи неговата работа). Според Регламента посочените мерки не следва да може да бъдат обезсилени чрез износа на стоки, които не са предмет на контрол (включително инсталации), съдържащи един или повече контролирани компоненти, когато контролираният компонент или компоненти са основният елемент на стоките и реално могат да бъдат отделени или употребени за други цели.
- Видове разрешителни режими
Регламентът също така предвижда система на разрешителните режими, градирана по степен на стратегическа важност на съответните изделия, включително на софтуера и технологиите за Общността (например на компютърните програми, имащи отношения към стратегията за отбрана); по изключение е възможно да се предвидят ограничения за движение на изделията в рамките на Общността, ако дадена държава членка има данни, че при движение би могло да последва износ от митническата територия на ЕС към територията на трета държава. За някои типове изделия всеки един трансфер е поставен под разрешителен режим, а за други – всяко разрешение трябва да бъде за конкретен случай, не е възможно издаването на генерално разрешение към един износител за определен тип изделия, например. Така разрешенията се делят на глобални и индивидуални, национални генерални и генерални на ЕС; за брокерски услуги и за техническа помощ.
Къде сме ние?
Преди дни приключи общественото обсъждане на измененията в българския Закон за експортния контрол на продукти, свързани с отбраната, и на изделия и технологии с двойна употреба ("Закона за експортния контрол"). В законопроекта и мотивите към него няма и думичка за Регламента и новият разрешителен режим, въведен с него, нито за позиционирането на България в широкия спектър от очертаните по-горе възможности, които са оставени от новия режим на преценката на държавата членка. Считам, че това е съществен пропуск, който се надявам да бъде поправен по време на работата в Правна комисия на НС. По-долу има опит да се очертае кръга от въпроси, който следва да бъде адресиран с евентуално последващо изменение на Закона за експортния контрол:
- Контролните органи – компетентност в областта на софтуера и технологиите
Поради разширяването на предметния обхват на закона следва адекватно да бъде допълнен и състава на Междуведомствена комисия за експортен контрол. От сегашния състав на Комисията при Министъра на икономиката и индустрията по нищо не личи, че една от най-големите заплахи за външната сигурност на държавите членки, в това число и България, в момента е националната киберсигурност и устойчивост на свързаните системи на основни услуги на външни заплахи – от една страна, а от друга страна България не следва да се превръща във врата за изтичането на технологии и софтуер към трети държави, особено такива, по отношение на които има действащи санкционни режими в резултат на водена от тях война. Безспорно е, че включването в обхвата на експортния контрол на територията на ЕС на софтуера и технологиите налага в съставите на, съответно, Междуведомствения съвет и Междуведомствената комисия да влезе и представител на Министерството на електронното управление.
Към момента действащият закон предвижда в техните състави да влизат представители на представители на Министерството на икономиката, Министерството на външните работи, Министерството на отбраната, Министерството на вътрешните работи и на Държавна агенция "Национална сигурност" – член 12, ал.2. Законопроектът не предвижда никакво изменение в тази посока.
- Пълна ревизия на предметния обхват на Закона
Наред с въпроса за ефективния контрол и прилагане на закона стои и въпросът за неговия предметен обхват, който вече изобщо не съответства на Регламента; в законопроекта изцяло отсъстват текстове, насочени към отчитане на значително разширения предметен обхват и на такива, насочени към услуги по поддръжка на софтуер и информационни технологии, обхванати от експортния контрол – така наречената "техническа поддържка". В сегашния вариант на закона, изобщо непроменен от законопроекта се съдържа само и единствено препратка към такъв тип поддръжка по отношение на "химически, биологически или ядрени продукти, свързани с отбраната, или други ядрени експлозивни устройства" – чл.54, ал.3 от действащия закон.
Нашият закон предвижда контрола по отношение на продукти "свързани с отбраната", докато видно от текстовете на Регламента същите отчитат много по-широкото приложение на технологиите в съвременните начина на водене на война, включително хибридните войни и кибератаките. Също така, законът ни предвижда контрол само по отношение на техническа поддръжка "свързана с придвижване на хора", но не и много по-разпространената и ефективна отдалечена поддръжка, осъществявана посредством remote hands, облачни технологии, работа през VPN връзка директно на сървъра на партньора и т.н. На фона на събитията от последните седмици и развитието на съвременните технологии подобен пропуск в предвидения пресен законопроект за изменение на Закона за експортния контрол буди искрено недоумение – сякаш Регламентът и новата реалност просто не съществуват.
- Ревизия, насочена към съобразяване на разрешителния режим на софтуера, технологиите и техническата помощ със законодателството на ЕС
Сегашният регистрационен и разрешителен режим, предвиден в българския закон, следва да бъде изцяло пренаписан като следствие от мащабните промени в предметния обхват на Регламента и видовете разрешителни. Предвид развитата сорсинг и донякъде развойна индустрия по отношение на софтуера и технологиите в страната специално внимание следва да бъде обърнато на тази част от промените в закона с оглед баланса на интересите между националната и общоевропейската сигурност, от една страна и нуждите на българската ИКТ индустрия, от друга.
В заключение:
Светът се променя с много голяма скорост и законодателството не прави изключение. Военните конфликти и нарушенията на човешките права се влияят, както всяка една друга област на обществения живот, от развитието на софтуера и технологиите. ЕС съумя да отрази тези заплахи и да произведе законодателство, адресиращо тези аспекти, което влезе в сила миналата година на територията на ЕС. Време е и България да го забележи, ако иска да бъде отчитана като равностоен и активен партньор в рамките на съюзите, в които членува. Това изисква предприемане на адекватни законодателни мерки, които да бъдат приведени в изпълнение от ресорните министерства. ИТ бизнесът следва да бъде активен участник в този процес, за да не се допусне задушаването или затрудняването на легитимни бизнес инициативи при отчитане на реалните заплахи за сигурността.