Отидохме на Луната  

Рецепта за бисквитки

Не става дума за захарни изделия, а за информационни технологии. Терминът е заимстван с директен превод от английския език, където се използва думата cookies (въпреки, че буквалният превод е курабийки, а не бисквитки).

И все пак, каква е целта на бисквитките? Бисквитките представляват порции структурирана информация, която съдържа различни параметри. Те се създават от сървърите, които предоставят достъп до уеб страници. Предава се чрез служебните части на HTTP протокола (т. нар. HTTP headers) – това е трансферен протокол, който се използва от браузърите за обмен на информация със сървърите. Бисквитките са добавени в спецификацията на HTTP протокола във версия 1.0 в началото на 90те години. По това време Интернет не беше толкова развит, колкото е в момента и затова HTTP протоколът има някои специфични особености. Протоколът е базиран на заявки (от клиента) и отговори (от сървъра), като всяка двойка заявка и отговор се правят в отделна връзка (socket) към между клиента и сървъра. Тази схема на работа е изключително удобна, тъй като не изисква постоянна и стабилна връзка с Интернет, тъй като всъщност връзката се използва само за кратък момент. За съжаление, заради тази особеност често HTTP протоколът е наричан state less протокол (протокол без запазване на състоянието). А именно – сървърът няма как да знае, че редица от последователни заявки са изпратени от един и същи клиент. За разлика от IRC, SMTP, FTP и други протоколи създадени през същите години, които отварят една връзка и предават и приемат данни двупосочно. При такива протоколи комуникацията започва с hand shake или аутентикация между участниците в комуникацията, след което и за двете страни е ясно, че докато връзката остава отворена, комуникацията тече с конкретен участник.

За да бъде преодолян този недостатък на протокола, след версия 0.9 (първата версия навлязла в реална експлоатация), във версия 1.0 създават механизма на бисквитките. Кръщават технологията cookies заради приказката на братя Грим за Хенцел и Гретел, които маркират пътя, по който са минали пре тъмната гора, като поръсват трохи. В повечето български преводи в приказката се използват трохи от хляб (bread crumbs) термин, който намира друго място в IT сферата и уеб, но в действителност приказката е германска народна приказка с много различни версии през годините. Сравнението е очевидно – cookies позволяват да се проследи пътя на потребителя в тъмната гора на state less протокола HTTP.

Как работят бисквитките? Бисквитките се създават от сървърите и се изпращат на потребителите. При всяка следваща заявка от потребителя към същия сървър, той трябва да изпраща обратно копие на получените от сървъра бисквитки. По този начин, сървърът получава механизъм по който да проследи потребителя по пътя му, т.е. да знае, когато един и същи потребител е направил поредица от множество, иначе несвързани, заявки.

Представете си, че изпращате първа заявка към сървъра и той ви връща отговор, че иска да се аутентикирате – да посочите потребителско име и парола. Вие ги изпращате и сървърът верифицира, че това наистина сте вие. Но заради особеностите на HTTP протокола, след като изпратите името и паролата, връзката между вас и сървъра се прекъсва. По-късно изпращате нова заявка. Сървърът няма как да знае, че това отново сте вие, тъй като за новата заявка е направена нова връзка.

Сега си представете същата схема, но с добавена технологията на бисквитите. Изпращате заявката към сървъра, той ви връща отговор, че иска име и парола. Изпращате име и парола и сървърът ви връща бисквитка в която записва че собственикът на тази бисквитка вече е дал име и парола. Връзката прекъсва. По-късно изпращате нова заявка и тъй като тя е към същия сървър, клиентът трябва да върне обратно копие на получените от сървъра бисквитки. Тогава новата заявка съдържа и бисквитката, в която пише, че по-рано сте предоставили име и парола, които са били валидни.

И така, бисквитките се създават от сървърите, като данните се изпращат от уеб сървъра заедно с отговора на заявка за достъп до ресурс (например отделна уеб страница, текст, картинка или друг файл). Бисквитката се връща като част от служебната информация на протокола. Когато клиент (клиентският софтуер – браузър) получи отговор от сървър, който съдържа бисквитка, той следва да я обработи. Ако клиентът вече разполага с подобна бисквитка – следва да си обнови информацията за нея, ако не разполага с нея, следва да я създаде. Ако срокът на бисквитката е изтекъл – следва да я унищожи и т.н.

Често се споменава, че бисквитките са малки текстови файлове, които се съхраняват на компютъра на потребителя. Това не винаги е вярно – бисквитките представляваха отделни текстови файлове в ранните версии на някои браузъри (например в Internet Explorer и Netscape Navigator), повечето съвременни браузъри съхраняват бисквитките по различен начин. Например съвременните версии на браузърите Mozilla Firefox и Google Chrome съхранява всички бисквитки в един файл, който представлява sqlite база данни. Подходът с база данни е доста подходящ, тъй като бисквитките представляват структурирана информация, която е удобно да се съхранява в база, а достъпът до информацията е доста по ефективен. Въпреки това, браузърът Microsoft Edge продължава да съхранява бисквитките във вид на текстови файлове в AppData директорията.

Какви параметри съдържат бисквитките, които сървърите изпращат? Всяка бисквитка може да съдържа: име, стойност, домейн, адрес (път), срок на варидност и някои параметри за сигурност (да важат само по https и да бъдат достъпни само от трансфертия протокол, т.е. на не бъдат достъпни за javascript и други приложни слоеве при клиента). Името и стойността са задължителни за всяка бисквитка – те задават името на променливата, в която ще се съхранява информацията и съответната стойност – съхранената информация.

Домейнът е основната част от адреса на интернет сайта, който изпраща бисквитката – частта, която идентифицира машината (сървъра) в мрежата. Според техническите спецификации домейнът на бисквитката задължително трябва да съвпада с домейна на сървъра, който ги изпраща, но има някои изключения. Първото изключение е, чекогато се използват няколко нива домейни, те могат да създават бисквитки за различни части от нивата. Например отговорът на заявка към домейна example.com може да създаде бисквитка само за домейна example.com, както и бисквитка валидна за същия домейн и всички негови поддомейни. Ако бисквитката е валидна за всички поддомейни, изписването става с точка пред името на домейна или .example.com. Второто изключение е валидно, когато бисквитката не се създава от сървъра, а от приложен слой при клиента (например от javascript). Тогава е възможно js файлът да е зареден от един домейн, но в html страница от друг домейн – сървърът, който изпраща бисквитка може да я изпрати от името на домейна където е js файлът, но самият js, докато е зареден в страница от друг домейн може да създаде (и прочете) бисквитка от домейна на html страницата.

Адресът (или пътят) е останалата част от URL адреса. По подризбиране бисквитките са валидни за път / (т.е. за корена на уеб сайта). Това означава, че бисквитката е валидна за всички възможни адреси на сървъра. Въпреки това, има възможност изрично да се укаже конкретен адрес, за който да бъдат валидни бисквитките.По идея, адресите са репрезентация на път в йерархична файлова структура върху сървъра (въпреки, че не е задължително). Затова и адресите на бисквитките представят мястото на тяхното създаване в йерархична файлова система. Например ако пътят на бисквитката е /dir/ – това означава, че тя е валидна в директорията с име dir, включително и всички нейни поддиректории.

Да дадем малко по-реалистичен пример, ако имаме бисквитки, които използваме за съпраняване на информация за аутентикацията на потребителите в администраторски панел на уеб сайт, който е разположен в директория /admin/ – можем да посочим, че дадената бисквитка е валидна само за адрес /admin/, по този начин бисквитките създадени от сървъра за нуждите на администраторския панел няма да се използват при заявки за други ресурси от същия сървър.

Срокът на валидност определя колко време потребителят трябва да пази бисквитката при себе си и да я връща с всяка следваща заявка към същия сървър и адрес (път). Когато сървърът иска да изтрие бисквитка при потребителя, той трябва да я изпрати със срок на валидност в миналото, по този начин предизвиква изтичане и автоматично изтриване на бисквитката при потребителя.

Бисквитките имат и параметри, които имат грижата да осигурят сигурността на предаваните данни. Това включва два булеви параметъра – единият определя, дали бисквитката да бъде достъпна (както за четене, така и за писане) само от http протокола или да бъде достъпна и за приложния слой при клиента (например за javascript). Вторият параметър определя, дали бисквитката да се предава по всички протоколи или само по https (защитен http).

Както се досещате, в рамките на една и съща комуникация може да има повече от една бисквитка. Както сървърът може да създаде повече от една бисквитка едновременно, така и клиентът може да върне повече от една бисквитка обратно към сървъра. Именно затова освен домейни и адреси, бисквитките имат и имена.

В допълнение бисквитките имат и редица ограничения. Повечето браузъри не позволяват да има повече от 20 едновременно валидни бисквитки за един и същи домейн. Във Mozilla Firefox това ограничение е 50 броя, а в Opera 30 броя. Също така е ограничен и размерът на всяка отделна бисквитка – не повече от 4KB (4096 Bytes). В спецификациите за бисквитки RFC2109 от 1997 г. е посочено че клиентът може да съхранява до 300 бисквитки по 20 за един и същи домейн и всяка с размер до 4KB. В по-късната спецификация Rfc6265 от 2011 г. лимитите са увеличение до 3000 броя общо и 50 броя за един домейн. Все пак, не трябва да се забравя, че всяка бисквитка се изпраща от клиента при всяка следваща заявка към сървъра, ако чукнем тавана на лимитите и имаме 50 бисквитки по 4KB, това означава, че с всяка заявка ще пътуват близо 200KB само под формата на бисквитки, което може да се окаже сериозен товар за трафика, дори и при техническите възможности на съвременния достъп до Интернет.

Разбира се, по-рано приведеният пример, при който запазваме успешната аутентикация на потребителя в бисквитка има множество особености свързани с гарантиране на сигурността. На първо място – не е добра идея да запазим потребителското име и паролата на потребителя в бисквитка, тъй като тя се запазва на неговия компютър. Това означава, че по всяко време, ако злонамерено лице получи достъп до компютъра на потребителя, може да прочете потребителското име и паролата от записаните там бисквитки. От друга страна, ако в бисквитката съхраним само името на потребителя, без неговата парола – няма как да се предпазим от фалшиви бисквитки – всяко злонамерено лице може да създаде фалшива бисквитка, в която да посочи произволно (чуждо) потребителско име и да се представи пред сървъра от чуждо име.

Затова най-често използваният механизъм е, че при всяка аутентикация с име и парола пред сървъра, след като той ги верифицира, създава някакъв временно валиден идентификатор, който изпраща като бисквитка. В различните технологии този идентификатор може да се намери с различни имена, one time password (OTP), token, session или по друг начин. При тази схема сървърът съхранява за ограничено време (живот на сесията) информация за потребителя. Всяка такава информация (често наричана сесия) получава идентификационен номер, който се изпраща като бисквитка на потребителя. Тъй като той ще връща този идентификатор с всяка следваща заявка, сървърът ще може да възстановява съхранената информация за потребителя и тя да бъде достъпна при всяка следваща заявка. В същото време, информацията е съхранена на сървъра, а не при клиента, което не позволява на злонамерен потребител да я модифицира или фалшифицира. Освен това, идентификаторът е валиден за ограничен период от време (например за 30 минути). Дори и бисквитката с идентификатора да остане на компютъра на потребителя, заисаният в нея идентификатор няма да върши работа след половин час. Не на последно място, при натискане на бутона за изход съхранените на сървъра данни за потребителя се изтриват дори и да не е изтекъл срокът от 30 минути. Именно затова е важно винаги да се използват бутоните за изход при излизане от онлайн системи.

Какво друго се съхранява в бисквитки? На практика всичко! Много често бисквитките се използват за съхраняване на информация за индивидуални настройки на потребителя. Когато потребителят промени някоя настройка сървърът му изпраща бисквитка със съответната настройка и дълъг срок на валидност. При всяко следващо посещение на същия потребител на същия сайт, той ще изпраща запазената в бисквитка настройка, заедно със заявката към сървъра. Сървърът ще знае за желаната настройка и ще я приложи при връщането на отговор на изпратената заявка. Пример за такава настройка е броят на записите които се показват на страница. Ако веднъж промените този брой, избраната стойност може да се запази в бисквитка и при всяка следваща заявка сървърът винаги ще знае за настройката и ще връща правилен отговор.

В бисквитки се съхранява и друга информация, например поръчани стоки в пазарската кошница на онлайн магазин, статистическа информация кога сте посетили даден сайт за последно, колко пъти сте го посетили, кои страници сте посещавали, колко време сте се задържали на всяка от страниците и т.н.

Забранява ли Европейският съюз бисквитките? Бисквитеното чудовище от улица Сезам би било доста разстроено, ако разбере, че ЕС иска да ограничи използването на бисквитки. В действителност истината е доста по-различна, но информацията е масово грешно интепретирана. Да излезем от технологичната сфера и да навлезем малко в юридическата. На първо място, кои са нормативните документи в тази връзка? Масово се цитира европейската Директива 2009/136/ЕО от 25 ноември 2009 г. Истината е, че тази директива не засяга директно бисквитките. Директивата внася изменения в друга Директива 2002/22/ЕО от 7 март 2002 г. относно универсалната услуга (час от която е и достъпът до Интернет) и правата на потребителите. Изменението от директивата от 2009 г. гласи следното (чл. 5, стр. 30):

5. Член 5, параграф 3 се заменя със следния текст:

„3. Държавите-членки гарантират, че съхраняването на информация или получаването на достъп до информация, вече съхранявана в крайното оборудване на абоната или ползвателя, е позволено само при условие, че съответният абонат или ползвател е дал своето съгласие след получаване на предоставена ясна и изчерпателна информация в съответствие с Директива 95/46/ЕО, inter alia, относно целите на обработката. Това не пречи на всякакво техническо съхранение или достъп с единствена цел осъществяване на предаването на съобщение по електронна съобщителна мрежа или доколкото е строго необходимо, за да може доставчикът да предостави услуга на информационното общество, изрично поискана от абоната или ползвателя.“

Също така, в увода на същата директива се споменава още:

(66) Трети страни може да желаят да съхраняват информация върху оборудване на даден ползвател или да получат достъп до вече съхраняваната информация за различни цели, които варират от легитимни (някои видове „бисквитки“ (cookies) до такива, включващи непозволено навлизане в личната сфера (като шпионски софтуер или вируси). Следователно е от първостепенно значение ползвателите да получат ясна и всеобхватна информация при извършване на дейност, която би могла да доведе до подобно съхраняване или получаване на достъп. Методите на предоставяне на информация и на предоставяне на правото на отказ следва да се направят колкото може по-удобни за ползване. Изключенията от задължението за предоставяне на информация и на право на отказ следва да се ограничават до такива ситуации, в които техническото съхранение или достъп е стриктно необходимо за легитимната цел на даване възможност за ползване на специфична услуга, изрично поискана от абоната или ползвателя. Когато е технически възможно и ефективно, съгласно приложимите разпоредби на Директива 95/46/ЕО, съгласието на ползвателя с обработката може да бъде изразено чрез използване на съответните настройки на браузер или друго приложение. Прилагането на тези изисквания следва да се направи по-ефективно чрез разширените правомощия, дадени на съответните национални органи.

От двете цитирания следва да обърнем внамание и на още нещо – цитира се и Директива 95/46/ЕО от 24 октомври 1995 г, която пък третира защитата на физическите лица при обработването на лични данни. Разбира се, трудно е да се каже, че директивата от средата на 90те години засяга директно функционирането на Интернет, който по това време е доста слабо разпространен, а технологията на бисквитките – появила се само преди няколко години, все още изключително нова и рядко използвана.

Преди да продължим с анализа нататък, трябва да отбележим, че и трите цитирани директиви, по отношение на защитата на потребителите от бисквитки, засега не са транспонирани в националното законодателство (поне не в Закона за електронното управление, Закона за електронните съобщения и Закона за защита на личните данни). Слава богу, механизмът на директивите в Европейския съюз е така създаден, че ги прави задължителни за спазване от всички държави-членки, независимо дали има национално законодателство за съответната сфера или не.

И все пак – защо ЕС иска да ограничи използването на бисквитките? Сред изброените множество приложения на технологията – за съхраняване на аутентикация, за съхраняване на настройки, за следене на поведението на потребителя, за следене на статистика за потребителя, за маркетингови анализи, за съхраняване на данни за пазарски колички и др. (някои от изброените се припокриват или допълват), бисквитките още може да се използват и за сериозно навлизане в личното пространство на потребителите, като се извършват различни форми на следене и анализ на потреблението и поведението на потребителите в Интернет с цел предоставяне на таргетирана реклама или с други, дори и незаконни, цели.

Да разгледаме един по-реалистичен пример на базата на вече разгледаната по-рано технология. Имаме прост информационен сайт с автомобилна тематика, който няма никакви специфични функции, не предоставя услуги или нещо друго. Сайтът обаче използва Google Analytics (безплатен инструмент за събиране на статистика за посетителите, предоставят от Google), също така, собственикът на сайта, с цел да монетизира поне в някаква минимална степен събраната на сайта си информация е пуснал и Google Adwords (услуга за публикуване на рекламни банери предоставяна от Google). Също така имаме и потребител, който търси в Google информация за ремонт на спукана автомобилна гума. Потребителят открива цитирания по-горе сайт в Google, където кликва линк и отива на сайта. Същият потребител има и email в Gmail (безплатна email услуга предоставяна от Google). Както забелязвате, до момента имаме един неизменно преследващ ни по целия път общ знаменател – Google. В случая това далеч не е единствения голям играч на този пазар, просто примерът с него е най-достъпен за широката публика. Всъщност Google едновременно има достъп до писмата, които потребителят е изпращал и получавал, до това какво е търсил, до това в кой сайт е влязъл, какво е чел там (точно кои страници), колко време е прекарал на този сайт, също така и информация за всеки друг сайт, който същият потребител е посещавал в миналото, независимо дали ги е посещавал от същия компютър или от друг, достатъчно е всички сайтове да използват Google Analytics за статистиката си. Ако потребителят има служебен и домашен компютър и е влизал в Gmail пощата си и от двата компютъра, тогава Google Analytics е в състояние да направи връзка, че сайтовете, които сапосещавани на двата компютъра, които иначе нямат никаква друга връзка помежду си, са посещавани от един и същи потребител. Тогава, потребителят не трябва да се учудва, ако отиде на трето място, несвързано по никакъв начин с предишните две (домашния и служебния компютър), влезе си в пощата и по-късно посети произволен сайт, на който види реклама за продажба на нови автомобилни гуми.

Проследяването на всичко описано до момента е възможно именно чрез механизмите на бисквитките. Неслучайно те се наричат механизъм за запазване на състоянието и са създадени за „следене на потребителите на протокола”. Разбира се – следене в позитивния и чисто технологичен смисъл на термина, но все пак следене, което в ръцете на недобронамерени лица може да придобие съвсем различни мащаби и да се извършва със съвсем различни цели.

Всичко това може (и се) комбинира и с други данни, които се събират за потребителите – IP гео локация, информация за интернет връзката, използваното устройство, размер на дисплея, операционна система, използван софтуер и много други данни, които се предоставят автоматизирано, докато браузваме в мрежата.

Отново, сама по себе си, технологията на функциониране на бисквитките има предвидени защитни механизми. Например бисквитките от един уеб сайт не могат да бъдат прочетени от друг сайт. Но тук цялата схема се чупи поради факта, че бисквитките са достъпни за приложния слой на клиента (javascript), като в същото време милиони сайтове по света се възползват от иначе безплатната услуга за събиране на статистика за посещенията от един и същи доставчик. Именно този доставчик е свързващото звено в цялата схема. Всеки от сайтовете и всеки от потребителите поотделно не разполагат с особено полезна информация, но свързващото звено разполага с цялата информация и при добро желание, а повярвайте ми, за да бъдат безплатни всички тези услуги, желанието е преминало в нужда, тази натрупана информация може да бъде анализирана, обработена и използвана за всякакви нужди.

И тъй като често тези действия могат да навлязат доста надълбоко в личния живот на хората, Европейският съюз е предприел необходимите мерки, да задължи доставчиците на услуги в Интернет (собствениците на уеб сайтове), да информират потребителите за това какви данни се съхраняват за тях на крайните устройства (т.е. на самите компютри на клиентите) и за какви цели се използват тези данни.

Тук е много важно да уточним няколко аспекта. На първо място – използването на бисквитки, както и проследяването като процес не са забранени, просто се изисква потребителите да бъдат информирани какво се прави и с каква цел, както и потребителят изрично да е дал съгласието си за това. Другата важна подробност е, че бисквитките не са единственят механизъм за съхраняване на информация на крайните устройства и европейското законодателство не се ограничава до използването именно на бисквитки. Local Storage е съвременна алтернатива на бисквитките и въпреки, че функционира по различен начин и предоставя съвсем различни възможности, но също съхранява информация на крайните устройства и реално може да бъде използвана за следене на потребителите и може да засегне правата им по отношение на обработка на личните им данни. В този смисъл европейските директиви засягат всяка форма на съхраняване на информация на устройствата на потребителите, а не само бисквитките. Също така – директивите разглеждат съхраняването на данни за проследяване на потребителите отделно от бисквитките необходими за технологичното функциониране на системите в Интернет. Също така се прави и разлика между бисквитки от трети страни и бисквитки от собствениците на сайтовете, като в примера с бисквитките оставяни от Google Analytics, Google е трета страна.

Когато съхраняването на данните (били те бисквитки или други) се извършва от трети страни (различни от доставчика на услугата и крайния потребител), това не отменя ангажиментите на доставчика на услугата да информира потребителите, както и да им иска съгласието. Казано накратко, ако имам сайт, който използва Google Analytics, ангажиментът да информирам потребителите на сайта, както и да поискам тяхното съгласие, си остава мой (т.е. на собственика на сайта – лицето, което предоставя услугата), а не на третата страна (т.е. не е ангажимент на Google.

Също интересен факт е, че директивата разглежда като допустимо, съгласието на потребителя да бъде получено и чрез настройка на браузъра или друго приложение. Тук можем обратно да се върнем към технологиите. Преди време имаше P3P (пи три пи като Platform for Privacy Preferences, не ръ зъ ръ)– технология, която започна обещаващо, но в последствие беше имплементирана единствено от Internet Explorer и в крайна сметка разработката на спецификацията беше прекратена от W3C. Една от сочените причини е, че планираната технология беше относително сложна за имплементиране. Към днешна дата повечето браузъри поддържат Do Not Track (DNT), което представлява един HTTP header с име DNT, който ако присъства в заявката на клиента със стойност 1, посочва, че потребителят не е съгласен да бъде проследяван. Разбира се, проследяването, което се визира от DNT и запазването и достъпването на информация на крайните устройства на потребителите, което се визира в европейските директиви на се едно и също. Може да записваш и четеш информация на клиента, без да го проследяваш, което би нарушило европейските директиви, както и можеш да проследиш клиента, без да му записваш и четеш данни локално (например чрез Browser Fingerprint и с дънни съхранявани изцяло на сървъра).

Накрая, нека обобщим:

  1. Европейският съюз не забранява бисквитките;
  2. Европейският съюз предвижда мерки за защита на личните данни, като налага правила за искане на позволение от потребителите, когато се записват и достъпват данни на крайните им устройства, когато тези данни;
  3. Изискването за информирано съгласие не се ограничава единствено до бисквитките, а покрива всички съществуващи и евентуално бъдещи технологии позволяващи записване и достъпване на информация на крайните устройства на потребителите;
  4. Информиране на потребителите следва да има, както и трябва да им се поиска, независимо дали данните се записват или достъпват директно от доставчика на услугата или чрез услугите на трета страна. Или по-просто казано, ако използваме Google Analytics, ние трябва да предупредим потребителя и да му поискаме съгласието, а не Google. В този случай доставчикът на услугата (самият сайт) се явява като оператор на лични данни (не по смисъла на българския ЗЗЛД, но по смисъла на европейските директиви, а Google се явява трета страна оторизирана от администратора да управлява тези данни от негово име и за негова сметка – ерго отговорността е на администратора;
  5. Информиране на потребителя и искане на съгласие не е необходимо, когато записваните и четените данни се използват за технологични нужди и това е свързано с предоставянето на услугата, която потребителят изрично е поискал да използва. Бих казал, че когато случаят е такъв, лично аз бих избрал да информирам потребителя какво и защо се записва и чете, без обаче да му искам съгласието;
  6. Според Европейските директиви съгласието може да се изрази от потребителите и чрез специфични технологии създадени за тази цел, но използването на технологиите не отменя необходимостта от информиране на потребителя относно това какви данни се съхраняват и с каква цел се обработват;
  7. Европейската нормативна уредба в това отношение изглежда не е траспонирана в националното законодателство на България, което не означава, че може да не се спазва;

Имаш кола

Освен, че имаш кола, имаме и електронно правителство… поне по документи… по хартиени документи!

Но да се върнем на колата – имаш кола и шофьор, които имат идентификация – регистрационен номер и лична карта. Ако имаше истинско електронно управление – наличието на идентификация би било достатъчно за всичко, което ще последва. Но не…

Ако имаш кола – трябва да минаваш годишен технически преглед. Но не, не просто трябва да си минал преглед, за да се констатира този факт, трябва да имаш: стикер за ГТП, малък талон за ГТП, голям талон за ГТП и протокол от ГТП. След като ти издадат наръч с документи, трябва да си ги разхождаш през следващата година с теб.

Ако имаш кола – трябва да си плащаш данък МПС. Но не, не трябва да си платил данъка, трябва още да имаш и бележка, че си го платил. Можеш да го платиш онлайн или по друг безкасов начин (и най-вече без да се редиш на опашка), но след това трябва да отидеш в общината и да се наредиш на същата опашка, за да ти издадат хартиена бележка с мокър печат, сега слушайте внимателно, и холограмен стикер, щото иначе ги фалшифицират. После тази бележка трябва да я стискаш до следващата година и да я представяш на всеки ъгъл… щото я искат (КАТ пътна полиция, пунктовете за ГТП, нотариусите при прехвърляне и т.н.)

Ако имаш кола и пътуваш с нея извън населеното място в което живееш – трябва да имаш винетен стикер. Но не – не просто винетен стикер, трябва да имаш и “гръбчето” от винетния стикер и касовата бележка с която си го купил. Щото иначе ги крадат… фалшифицират… и т.н. Същите тия неща (гръбче и касова бележка) трябва също да ги разхождаш с теб докато е валидна винетката (в оптималния случай 13 месеца). Касовата бележка на термотрансферна хартия (90% от касовите бележки) трудно ще издържи повече от 2 – 3 месеца, но това са подробности…

Ако имаш кола – трябва да имаш и задължителна застраховка Гражданска отговорност. Но не, не трябва да имаш застраховка, трябва да имаш още и стикер, че имаш ГО, малък талон, че имаш ГО, както и да носиш в себе си полица за ГО и бланки за двустранен констативен протокол. Ако ГО е на разсрочено плащане трябва да носиш и вносните бележки за всички (подчертавам, за всички, не само за последната) вноска. Разбира се – докато се движиш по пътищата – винаги трябва да мъкнеш всичкия наръч със себе си. Освен изброеното – трябва да имаш и т.нар. зелена карта, която замества стикера, талончето и полицата и вносните бележки, когато пътуваш в други страни, но не може тази зелена карта да си важи и в България – за тук трябва да имаш папка с други документи.

Ако имаш кола – трябва да имаш и шофьорска книжка. Но не, не просто книжка, към нея трябва да имаш и контролен талон, а не е зле да имаш и лична карта. Сега, обърнете внимание, можеш да имаш книжка, но да нямаш талон без да си в нарушение. А книжката може да бъде и документ за самоличност, но странно защо, през 2016 г. обратното не може да е валидно. Разбира се – отново трябва да носиш всичко със себе си.

Ако имаш кола – трябва да имаш и регистрационен талон. Но не е просто талон – имаш малък талон и голям талон. При дадени условия може да има и приложение към тия талони. Слава богу – трябва да носиш със себе си само т.нра. малък талон. Обаче в даден момент се оказва, че този малък талон е толкова малък, че на него няма всички данни, които са необходими при пътуване извън страната и трябва да си извадиш по-голям малък талон, който се състои от две части.

За да затворим кръговрата на живота на хартиения документ – като отидеш да си правиш ГТП, трябва да донесеш в пункта всичко изброено до тук (без винетката, ако пунктът е в населеното място). Трябва да носиш: всички стари документи от предходния технически преглед (малък талон, голям талон и протокол); хартиената бележка, че е платен данък МПС; залък талон и застрахователна полица за ГО, а ако е на разсрочено плащане и вносните бележки за сумите до момента; трябва да носиш и малък и голям талон на автомобила, а ако има добавък към тях – и него; трябва да носиш и шофьорска книжка и лична карта. При минаването на ГТП, всички тези документи се сканират и изпращат към органа, който сертифицира пунктовете за ГТП. И се предполага, че някой прави последващ протокол.

:: тук има дълга пауза, напиках се от смях и ходих да с епреобличам ::

Искате да ми кажете, че имаме дори и зачатъци на електронно управление, при което през 2016 г. не е възможно, за регистрирани в България автомобили на територията на България, на базата на идентификация (регистрационен номер на автомобила и документ за това и ЕГН и лична карта на шофьора) – да се провери: дали автомобилът е преминал ГТП, дали има сключена ГО, дали е платен данък МПС, дали има платена винетна такса за автомобила, дали водачът има книжка и колко контролни точки има, какви са параметрите на автомобила. През 2016 г. в условията на “електронно управление” – контролът от чички с фуражки по улиците, които четат хартиени бележки е по-ефективен и финансово оправдан от автоматизирания контрол?

През 2016 г. трябва да декларираш (подчертавам, сам да декларираш) в общината, че си купил автомобил, който е вписан в куп регистри. Общините все още нямат ефективен механизъм да санкционират собствениците, които не са декларирали автомобилите си и не са платили данък МПС. Нещо повече – държавата прие амнистия на несъбрания данък МПС или с други думи тегли една тънка, па дълга на изрядните данъкоплатци и каза на онези, които с години не бяха плащали: “няма проблеми”…

Ама какво разбирам аз – трябват си КАТ-аджии, по възможност на всеки километър или по-често.

Да живее електронното управление, да живее ЗЕУ… късото съединение прави силата!

Електрическото гласуване

Това, което ще последва е инспирирано от два фактора. Първият е публикацията на Боян Юруков – Електронно гласуване и доверието в изборите, а второто е една моя дискусия в Twiter с Владимир Каролев, където му обещах, че някой ден ще напиша, защо в България електронно правителство няма да има в обозримо бъдеще. И въпреки, че електронното правителство е силно различно от електронното гласуване – факторите, които обуславят провала и на двете са силно свързани.

Нататък тази публикация ще продължи в стил на контра-протест срещу написаното от Боян, защото в голяма степен не съм съгласен нито с него, нито с някои от коментарите под публикацията. Първоначално и аз планирах да напиша коментар, после се получи малко дълго и реших да е цял постинг. И така:

Първо да ви запитам – как по-точно ще стане проверката – дали гласът ми е отчетен правилно, без да се наруши тайната на вота? И как ще се предпази системата (независимо дали е електронна или хартина) от това да се продават по този начин гласовете?!

Както е написал и Спас Колев (коментар под публикацията в блога на Юруков) – основнен проблем на купувача на гласове е, да провери дали продавача “си е свършил работата” – ако има система, чрез която се проверява правилно ли ти е отчетен гласа – това АВТОМАТИЧНО решава основния проблем на купувача, което искаме да избегнем.

По темата с online гласуването – много хора отказват да приемат, че гласуването на национални избори не е като гласуването във Facebook или online анкета и се регулира от някаква нормативна уредба. Колко места по света можете да посочите, където на национални избори се гласува online? Подчертавам – не на избори за телевизионни водещи, мис-красота или снимката с най-красиво бебе, а на НАЦИОНАЛНИ ИЗБОРИ?! В комбинация с българския контекст на явна масова търговия с гласове, изборен туризъм, купуване на цели комисии, подмяна на бюлетини, протоколи и т.н. – въвеждането на online гласуване е на практика вредно. И да – твърдя, че е вредно точно както Боян твърди, че ще е полезно защото повече хора ще гласуват (за повечето хора по-късно). А дории да не е масова практика, дори само съмнения за измами да има – online гласуването само ще ги подсили.

И точно както Боян твърди, че купуването на гласове и подмяната на бюлетини не са проблем, защото “ефектът върху крайния резултат е статистически незначим“, аз пък смея да твърдя, че няма нужда да стимулираме гласуването в чужбина, защото “ефектът върху крайния резултат е статистически незначим“… в момента гласоподавателите в чужбина са около 3% от общия брой. От 250 секции в чужбина гласуват горе долу толкова хора, колкото от 50 секции в България и ако успееш да “купиш” 50% от хората в секцията – 100 секции (от общо почти 12000) могат напълно да игнорират резултата от чужбина.

Тук искам да подчертая, че в никакъв случай горното не е моето мнение и в никакъв случай не желая да игнорирам гласоподавателите извън България, нито твърдя, че са статистически незначими. Давам горното единствено като пример за това колко грешни са според мен разсъжденията, че понеже “ефектът върху крайния резултат е статистически незначим” не трябва да се обръща внимание на измамите.

Също така съм абсолютно категоричен, че причината за ниската избирателна активност (и най-вече при младите) не е свързана с липсата на възможност за електронно или online гласуване. Основната причина е политическата пасивност на масата хора и тази политическа пасивност трудно ще се излекува с online гласуването. По-скоро протестите или други форми на активност на гражданското общество са факторите, които ще събудят повече пасивни, отколкото технологиите.

Не на последно място – когато голяма част от населението е доведена до такова социално положение в което са готови срещу 20 – 50 лв. да си продадат бъдещето за следващите 4 (че и повече) години, трудно можем да повлияем чрез технологии, защото проблемът не е технологичен. И за съжаление (лично мнение) – това е едно от нещата, които въпросните хора извън България не могат да приемат – може би защото живеят в друг контекст и друга среда, но явно не разбират колко лесно е, да манипулираш, управляваш и купуваш хора живеещи с години в условия на постоянен недостатък. И количеството на тези хора е в пъти по-голямо от количеството на политически активните, на българите в Чужбина и на всички онези, които се твърди, че ако ги активизираме на избори, ще се промени резултатът.

Твърдението, че въвеждането на електронно гласуване (било то машинно или online) ще доведе до спестяване на пари също не мога да го подкрепя. Боян си пада по събирането на данни и ще го замоля, ако за него представлява интерес и разполага с необходимата информация, да изготви една инфографика, която да представя разпределение на разходите за провеждането на едни избори по различни пера. Без да съм виждал данните и да съм ги анализирал съм готов да се обзаложа, че едно от основните пера по избори всъщност е за МВР – за охрана на изборите, което няма да се спести чрез електронното гласуване. Перото за обработката също няма да намалее, защото хартиеният процес при всички положения ще остане, а при него цената зависи от броя на секциите, а не от брой на гласувалите – и нито един глас да няма, пак се обработват резултати (нули) от 12 хил. секции. От печатане на бюлетини също няма да има особена икономия, защото там перото е относително малко, а няма да отпадне изцяло. Хонорарите на 12000 секционни комисии средно по 7 човека + други комисии – почти 6 милиона лева също няма да се спестят. Единственото, което евентуално може да бъде сериозно перо на икономия са изборите извън България, тъй като там организацията за една секция е доста по-скъпа от организацията в България. Но ако съпоставим всичко това със стойността на една евентуална такава система – икономия може да се постигне само в някакъв много дългосрочен период.

Докато пишех, набързо спретнах една такава графика базирана на данните обявени в медиите за последните парламентарни избори през май 2013 г. Разпределението е на база 21 милиона лв. разходи.

Разпределение на разходите на парламентарните избори през май 2013 г.

Дори и да става дума за online гласуване при което няма закупуване на хардуер – разходите по внедряването и поддържането на такава система ще бъдат перо. А ако говорим за машинно гласуване – дори и най-евтиното решение, когато включва купуване на хардуер, трябва да се мултиплицира по 12 хил секции и веднага става сериозно перо, което в краткосрочен план е финансово неизгодно. А при такива технологии трудно може да се говори за дългосрочен план, защото рядко такава технология може да намира приложение повече от 4 години – просто технологията ще остарее. А колко избори ще се проведат за 4 години? В най-добрия сценарии 4 пъти, а може и само 2.

Единственото, с което мога да се съглася е, че електронното гласуване под каквато и да е форма може да намали грешките и да облекчи процеса като цяло.

И накрая – електронния подпис. Стига с тоя електронен подпис на избори. Предназначението на електронния подпис е да доказва самоличността на автора – да свързва физическото лице с волеизявлението. Естествено, че online гласуването има нужда от еднозначна идентификация на гласоподавателя, но също така се нуждае и от гарантиране на тайната на вота. Освен това електронният подпис не може да спре купуването на гласовете (да не повдигаме наново спора, дали може да го улесни). А електронните подписи на управителите на фирмите не винаги стават за използване за гласуване, защото зависи какъв е типът на сертификата им и ограничението идва най-вече от ЗЕДЕП, но и Изборният кодекс поставя ограничения, като например §113 (14) т.5, от преходните и заключителни разпоредби, където се казва, че “гарантира, че гласуващите избиратели няма да имат допълнителни разходи извън обичайните разходи за комуникация по интернет“, което автоматично изключва електронния подпис от техническото решение.

Next Page »