Проект

ЗАКОН
за
ЕЛЕКТРОННИЯ ДОКУМЕНТ И ЕЛЕКТРОННИЯ ПОДПИС

Глава първа
ОБЩИ ПОЛОЖЕНИЯ

Приложно поле

Чл. 1. (1) Този закон урежда електронния документ, електронния подпис и условията и реда за предоставяне на удостоверителни услуги.
(2) Този закон не се прилага:
1. относно сделки, за които законът изисква квалифицирана писмена форма;
2. когато държането на документа или на екземпляр от него има правно значение (ценни книжа, товарителници и други).

Глава втора
ЕЛЕКТРОНЕН ДОКУМЕНТ И ЕЛЕКТРОНЕН ПОДПИС

Електронно изявление

Чл. 2. (1) Електронно изявление е словесно изявление, представено в цифрова форма чрез общоприет стандарт за преобразуване, разчитане и визуално представяне на информацията.
(2) Електронното изявление може да съдържа и несловесна информация.
Електронен документ
Чл. 3. (1) Електронен документ е електронно изявление, записано върху магнитен, оптичен или друг носител, който дава възможност да бъде възпроизвеждано.
(2) Писмената форма се смята спазена, ако е съставен електронен документ.
Автор и титуляр на електронното изявление
Чл. 4. Автор на електронното изявление е физическото лице, което в изявлението се сочи като негов извършител. Титуляр на електронното изявление е лицето от името на което е извършено електронното изявление.
Адресат на електронното изявление
Чл. 5. Адресат на електронното изявление може да бъде лице, което по силата на закон е длъжно да получава електронни изявления или за което въз основа на недвусмислени обстоятелства може да се смята, че се е съгласило да получи изявлението в електронна форма.
Посредник при електронното изявление
Чл. 6. (1) Посредник при електронното изявление е лице, което по възлагане изпраща, получава, записва или съхранява електронно изявление или извършва други услуги, свързани с него.
(2) Посредникът при електронното изявление е длъжен:
1. да разполага с техническо и технологично оборудване, което да осигурява надеждност на използваните системи;
2. да поддържа персонал, притежаващ необходимите експертни знания, опит и квалификация;
3. да осигурява условия за точно определяне на времето и източника на предаваните електронни изявления;
4. да използва надеждни системи за съхраняване на информацията по т.3.
(3) Посредникът при електронното изявление отговаря за вредите от неизпълнение на задълженията му по ал.2.
Грешка при предаване на електронно изявление
Чл. 7. Титулярът носи риска от грешки при предаване на електронното изявление, освен ако адресатът не е положил дължимата грижа.
Получаване на електронното изявление
Чл. 8. (1) Електронното изявление се смята получено, ако адресатът потвърди получаването.
(2) Ако не е посочен срок за потвърждаване на получаването, потвърждаването трябва да бъде извършено в разумен срок.
(3) Потвърждаването на получаването не удостоверява съдържанието на електронното изявление.
Време на изпращане на електронното изявление 
Чл. 9. Електронното изявление е изпратено с постъпването му в информационна система, която не е под контрола на автора.
Време на получаване на електронното изявление
Чл. 10. (1) Електронното изявление е получено с изпращането на потвърждение за получаването му.
(2) Ако потвърждаване не се изисква, електронното изявление е получено с постъпването му в посочената от адресата информационна система. Ако адресатът не е посочил информационна система, изявлението е получено с постъпването му в информационна система на адресата, а ако адресатът няма информационна система – с изтеглянето му от адресата от информационната система, в която изявлението е постъпило.
Време на узнаване на електронното изявление
Чл. 11. Смята се, че адресатът на електронното изявление е узнал съдържанието му в разумен срок след неговото получаване. 
Място на изпращане и получаване на електронното изявление
Чл. 12. (1) Електронното изявление се смята изпратено в мястото на дейност на неговия титуляр.
(2) Електронното изявление се смята получено в мястото на дейност на неговия адресат.
(3) Ако титулярът или адресатът на изявлението има повече от едно място на дейност, за място на дейност се счита това, което е в най-тясна връзка с изявлението и неговото изпълнение, като се държи сметка за обстоятелствата, които са били известни на титуляра и адресата или са били взети предвид от тях по всяко време преди или при извършване на изявлението.
(4) Ако титулярът или адресатът няма място на дейност, взема се предвид неговото постоянно местопребиваване. 
Електронен подпис
Чл. 13. (1) Електронен подпис е:
1. всяка информация, свързана с електронното изявление по начин, съгласуван между автора и адресата, достатъчно сигурен с оглед нуждите на оборота, който:
а) разкрива самоличността на автора;
б) разкрива съгласието на автора с електронното изявление; и
в) защитава съдържанието на електронното изявление от последващи промени.
2. усъвършенстваният електронен подпис.
(2) Електронният подпис има значението на саморъчен подпис, освен ако титуляр или адресат на електронното изявление е държавата, държавен орган или орган на местно самоуправление.

Тайна на данните за създаване на електронния подпис
Чл. 14. Никой освен автора няма право на достъп до данните за създаване на електронния подпис.

Оспорване на електронния подпис
Чл. 15. (1) Лицето, посочено като титуляр или автор на електронното изявление, не може да оспори авторството спрямо адресата, ако изявлението е подписано с електронен подпис, когато:
1. изявлението е отправено чрез информационна система, предназначена да работи в автоматичен режим; или
2. изявлението е извършено от лице, на което е предоставен достъп до начина на идентифициране.
(2) Алинея 1, т. 2 не се прилага от момента, в който адресатът получи уведомление, че електронното изявление не изхожда от автора, и адресатът има достатъчно време да съобрази поведението си с уведомлението.
(3) Алинея 1 не се прилага, когато адресатът на изявлението не е положил дължимата грижа.

Глава трета
УСЪВЪРШЕНСТВАН ЕЛЕКТРОНЕН ПОДПИС

Раздел I
Общи положения
Определение
Чл. 16. (1) Усъвършенстван електронен подпис е преобразувано електронно изявление, включено, добавено или логически свързано със същото електронно изявление, преди преобразуването.
(2) Преобразуването по ал.1 се извършва чрез алгоритми, включващи използването на частния ключ на асиметрична криптосистема.
(3) Изискванията към алгоритмите се определят в наредба на Министерския съвет. 

Mехнизъм за създаване и проверка на усъвършенстван електронен подпис
Чл. 17. (1) Лицата, които създават усъвършенстван електронен подпис трябва да прилагат механизъм който гарантира, че:
1. данните за създаване на електронния подпис могат да се възпроизведат само при създаването му и тяхната сигурност е надеждно защитена;
2. данните за създаване на електронния подпис не са достъпни, не могат да бъдат извлечени и подписът е защитен срещу подправяне;
3. данните за създаване на електронния подпис могат да бъдат защитени от автора срещу използването им от други лица;
4. съдържанието на изявлението е достъпно за автора и остава непроменено до създаване на електронния подпис.
(2) Лицата, които извършват проверка на усъвършенстван електронен подпис трябва да прилагат механизъм, който гарантира, че:
1. данните за установяване използването на частния ключ съответстват на данните, предоставени на лицето, използващо публичния ключ;
2. използването на частния ключ е надеждно проверено и резултатите от тази проверка са предоставени на лицето, използвало публичния ключ.

Тайна на частния ключ
Чл. 18. Никой освен автора няма право на достъп до частния ключ.

Раздел IІ
Доставчици на удостоверителни услуги
Дейност на доставчиците на удостоверителни услуги
Чл. 19. (1) Доставчик на удостоверителни услуги е лице, което:
1. издава удостоверения по чл.24 и води регистър за тях; 2. предоставя на всяко трето лице достъп до публикуваните удостоверения;
(2) Доставчикът на удостоверителни услуги може да предоставя услуги по създаване на частен и публичен ключ за усъвършенстван електронен подпис
Организации за доброволна акредитация
Чл. 20. (1) Доставчици на удостоверителни услуги могат да създават организации за доброволна акредитация с цел постигане на по-високо ниво на предоставяните от тях удостоверителни услуги.
(2) Организациите за доброволна акредитация съдействат за признаване правната сила на удостоверенията, издадени от български доставчици в чужбина, както и на удостоверения, издадени от чужди доставчици в България.
(3) Условията за участие в организация за доброволна акредитация следва да бъдат общодостъпни и да създават равнопоставеност на всички доставчици на удостоверителни услуги.

Изисквания към дейността на доставчиците на удостоверителни услуги
Чл. 21. (1) Доставчиците на удостоверителни услуги осъществяват своята дейност като: 
1. поддържат разполагаеми средства, които осигуряват възможност за извършване на дейностите в съответствие с изискванията на този закон;
2. се застраховат за времето на своята дейност за вредите от неизпълнението на задълженията им по този закон;
3. разполагат с техническо и технологично оборудване, което осигурява надеждност на използваните системи и техническа и криптографска сигурност на осъществяваните чрез тях процеси;
4. поддържат персонал, притежаващ необходимите експертни знания, опит и квалификация за извършване на дейността, по-специално в областта на технологията на усъвършенстваните електронни подписи, както и добро познаване на процедурите за сигурност;
5. осигуряват условия за точно определяне на времето на издаване, спиране, възобновяване и прекратяване на действието на удостоверенията;
6. осигуряват мерки срещу подправяне на удостоверенията и поверителността на данните до които имат достъп в процеса на създаване на подписа;
7. използват надеждни системи за съхраняване и управление на удостоверенията, които –осигуряват:
а) само надлежно овластени служители да имат достъп за внасяне на промени;
б) установяване автентичността и валидността на удостоверенията 
в) възможност за ограничен достъп до публикуваните удостоверения;
г) възникването на технически проблеми във връзка със сигурността да става незабавно достояние на обслужващия персонал;
д) с изтичане на срока на удостоверението да се прекратява възможността за потвърждаване на частния ключ.
8. осигуряват възможност за незабавно спиране и прекратяване на действията на удостоверенията;
9. уведомяват незабавно Държавната комисия по далекосъобщенията за започването на дейност по чл.19.
(2) Министерският съвет приема наредби по ал. 1, т. 1, 2 и 3.
(3) Доставчикът на удостоверителни услуги не може да използва съхраняваната от него информация за цели, различни от тези, свързани с неговата дейност. Той може да предоставя на трети лица само съдържащата се в удостоверенията информация.

Задължения на доставчика на удостоверителни услуги
Чл. 22. Доставчикът на удостоверителни услуги е длъжен:
1. да издава удостоверение по искане на всяко лице, като предварително го информира, дали е регистриран по реда на глава четвърта и за участието си в организации за доброволна акредитация;
2. да информира лицата, желаещи да им бъде издадено удостоверение, за условията за издаване и използване на удостоверението, включително ограниченията на неговото действие, както и за процедурите за подаване на жалби и решаване на спорове;
3. когато издава удостоверения, да проверява чрез допустимите средства самоличността, съответно идентичността на автора и титуляра на усъвършенствания електронен подпис, и ако е необходимо, други данни за тези лица, включени в удостоверението;
4. да публикува издаденото удостоверение, така че трети лица да имат достъп до него съгласно указанията на титуляра;
5. да не съхранява или копира данни за създаване на частни ключове;
6. да предприема незабавни действия във връзка със спиране, възобновяване и прекратяване действието на удостоверението при установяване на съответните основания за това;
7. незабавно да уведомява автора и титуляра, за обстоятелства относно валидността или надеждността на издаденото удостоверение;
8. да притежава усъвършенстван електронен подпис, който да бъде използван само във връзка с дейността му на доставчик на удостоверителни услуги.

Отношения с титуляра
Чл. 23. Отношенията между доставчика на удостоверителни услуги и титуляра се уреждат с писмен договор.
Раздел ІІІ
Удостоверения за усъвършенстван електронен подпис
Удостоверение 
Чл. 24. (1) Удостоверението е електронен документ, издаден и подписан от доставчика на удостоверителни услуги, който съдържа:
1. наименованието, адреса, единния граждански номер или БУЛСТАТ на доставчика на удостоверителни услуги, както и указание за националността му; 
2. името или фирмата, адреса, данни за съдебната регистрация на титуляра на усъвършенствания електронен подпис;
3. основанието на овластяването, името и адреса на физическото лице (автор), което е овластено да извършва електронни изявления от името на титуляра на усъвършенствания електронен подпис;
4. публичния ключ, който съответства на частния ключ на титуляра на усъвършенствания електронен подпис;
5. идентификаторите на алгоритмите, с помощта на които се използват публичните ключове на титуляра на усъвършенствания електронен подпис и на доставчика на удостоверителни услуги;
6. датата и часа на издаването, спирането, възобновяването и прекратяването на действието;
7. срока на действие;
8. ограниченията на действието на подписа;
9. уникалния идентификационен код на удостоверението;
10. отговорността и гаранциите на доставчика на удостоверителни услуги;
11. препратка към удостоверението за усъвършенствания електронен подпис по чл.22, т.8 на доставчика на удостоверителни услуги, както и към регистрацията на доставчика в Държавната комисия по далекосъобщенията.
(2) Когато овластяването на автора произтича от други овластени лица, удостоверението трябва да съдържа данните по ал.1, т. 2 за тези лица.
(3) Освен ако е уговорено друго, удостоверението има действие за срок от 3 години.
(4) Титулярът и авторът са длъжни да уведомяват незабавно доставчика на удостоверителни услуги за настъпили промени в обстоятелствата, посочени в удостоверението.
(5) Промените на обстоятелствата, посочени в удостоверението, не могат да бъдат противопоставени на трети добросъвестни лица.

Издаване на удостоверение
Чл. 25. (1) Доставчикът на удостоверителни услуги издава удостоверение по писмено искане на титуляра.
(2) Искането се удовлетворява, ако:
1. изхожда от титулярa или надлежно овластено от него лице;
2. информацията относно титулярa, представена за включване в удостоверението е вярна и пълна; и
3. частният ключ:
а) се държи от титулярa;
б) е технически годен да бъде използван за създаване на усъвършенстван електронен подпис; и
в) съответства на публичния ключ, така че чрез публичния ключ може да се удостовери, че определен усъвършенстван електронен подпис е създаден с частния ключ.
(3) Ако исканото удостоверение се отнася до усъвършенстван електронен подпис с автор, различен от титуляра, искането се удовлетворява, ако са спазени изискванията по ал.2, като:
1. представената за включване в удостоверението информация относно автора също е вярна и пълна; и 
2. частният ключ се държи от автора.
(4) При удовлетворяване на искането доставчикът на удостоверителни услуги изисква от титуляра, съответно от автора, да приеме съдържанието на поисканото удостоверение. Тя променя съдържанието на удостоверението, ако титулярът, съответно авторът посочи неточности или непълноти.
(5) Доставчикът на удостоверителни услуги издава незабавно удостоверението, чието съдържание е прието по реда на ал.4, посредством публикуването му в регистъра на удостоверенията.

Спиране и възобновяване на действието на удостоверението
Чл. 26. (1) Освен ако е уговорено друго, доставчикът на удостоверителни услуги има право да спре действието на издадено от него удостоверение за необходимия според обстоятелствата срок, но не повече от 48 часа, ако съществува основателно съмнение, че действието на удостоверението следва да бъде прекратено.
(2) Освен ако е уговорено друго, доставчикът на удостоверителни услуги е длъжен да спре действието на издадено от него удостоверение за необходимия според обстоятелствата срок, но не повече от 48 часа:
1. по искане на титуляра, съответно автора, без да е длъжен да се увери в самоличността или представителната му власт;
2. по искане на лице, за което според обстоятелствата е видно, че може да знае за нарушения на сигурността на частния ключ, като представител, съдружник, служител, член на семейството и други.
3. по искане на Държавната комисия по далеко съобщения
(3) При непосредствена опасност за интересите на трети лица или при наличие на достатъчно данни за нарушение на закона, председателят на Държавната комисия по далекосъобщения може да задължи съответния доставчик на удостоверителни услуги да спре действието на удостоверението за необходимия според обстоятелствата срок, но не повече от 48 часа.
(4) Доставчикът на удостоверителни услуги незабавно уведомява титуляра и автора за спирането на действието на удостоверението.
(5) Спирането на действието на удостоверението се извършва чрез създаване на невъзможност за достъп до него
(6) Действието на удостоверението се възобновява:
1. с изтичане на срока на спиране;
2. от доставчика на удостоверителни услуги, при отпадане на основанието за спиране или по искане на титуляра, след като доставчикът на удостоверителни услуги, съответно Държавната комисия по далекосъобщения, се е уверила, че той е узнал причината за спирането, както и че искането за възобновяване е направено вследствие на узнаването. 

Прекратяване на действието на удостоверението
Чл. 27. (1) Действието на удостоверението се прекратява:
1. с изтичането на срока;
2. при прекратяване на доставчика на удостоверителни услуги, без прехвърляне на дейността на друг доставчик на удостоверителни услуги.
(2) Доставчикът на удостоверителни услуги е длъжен да прекрати действието на удостоверението по искане на титуляра или автора, след като се увери в самоличността и представителната власт на титуляра, съответно автора.
(3) Доставчикът на удостоверителни услуги прекратява действието на удостоверението при:
1. смърт или поставяне под запрещение на титуляра или автора;
2. прекратяване на юридическото лице на титуляра;
3. прекратяване на представителната власт на автора по отношение на титуляра;
4. установяване, че удостоверението е издадено въз основа на неверни данни.
Регистър на удостоверенията
Чл. 28. (1) Доставчикът на удостоверителни услуги води публичен електронен регистър, в който публикува удостоверението за своя електронен подпис по чл.22, т.8 и издадените удостоверения.
(2) Достъп до публикуваните удостоверения имат само лицата, указани от титуляра.
(3) Доставчикът на удостоверителни услуги публикува в регистъра по ал.1 и информация за:
1. условията и реда за издаване на удостоверение, включително за правилата за установяване идентичността на титуляра на усъвършенствания електронен подпис;
2. процедурите за сигурност на доставчика на удостоверителни услуги;
3. начина на използване на усъвършенствания електронен подпис;
4. условията и реда за използване на усъвършенствания електронен подпис, включително изискванията за съхраняване на частния ключ; 
5. условията за достъп до удостоверението и начина на проверка на усъвършенствания електронен подпис;
6. цената за получаване и използване на удостоверение, както и цените на останалите услуги, предоставяни от доставчика на удостоверителни услуги; 
7. отговорността на доставчика на удостоверителни услуги и титуляра на усъвършенствания електронен подпис;
8. условията и реда, по които титулярът прави искане за прекратяване действието на усъвършенствания електронен подпис. 
(4) Устройството и дейността на регистъра по ал.1 се уреждат с наредба на Министерския съвет.
Раздел ІV
Отговорност
Отговорност на доставчика на удостоверителни услуги
Чл. 29. (1) Доставчикът на удостоверителни услуги отговаря пред титуляра на усъвършенствания електронен подпис и пред всички трети лица за вредите :
1. от неизпълнението на изискванията по чл.21 и на задълженията по чл.22 и 25;
2. от неверни или липсващи данни в удостоверението към момента на издаването му;
3. които са им причинени, в случай че по време на издаване на удостоверението, лицето, посочено като автор, не е разполагало с частния ключ, съответстващ на публичния ключ;
4. от несъответствието между данните за установяване използването на частния ключ и данните предоставени на лицето, използващо публичния ключ. 
(2) Недействителни са уговорките, с които се изключва или ограничава отговорността на доставчика на удостоверителни услуги за небрежност.
(3) Доставчикът на удостоверителни услуги не отговаря за вреди, причинени от използване на удостоверението извън пределите на вписаните в него ограничения на неговото действие.

Отговорност на титуляра и автора към трети лица
Чл. 30. (1) Титулярът отговаря спрямо третите добросъвестни лица, когато при създаването на двойката публичен и частен ключ е използвал алгоритъм, който не отговаря на изискванията по чл.16, ал.3. 
(2) Титулярът отговаря спрямо третите добросъвестни лица, ако авторът:
1. не изпълнява точно изискванията за сигурност, определени от доставчика на удостоверителни услуги;
2. не поиска от доставчика на удостоверителни услуги прекратяване действието на удостоверението, когато е узнал, че частният ключ е бил използван неправомерно или съществува опасност от неправомерно използване на частния ключ.
(3) Титулярът, който е приел удостоверението при неговото издаване, отговаря спрямо третите добросъвестни лица:
1. ако авторът не е овластен да държи частния ключ, съответстващ на посочения в удостоверението публичен ключ;
2. за неверни изявления, направени пред доставчика на удостоверителни услуги и имащи отношение към съдържанието на удостоверението.
(4) Авторът, който е приел удостоверението при неговото издаване, отговаря спрямо третите добросъвестни ли&