16-05.01: Różnice pomiędzy wersjami

Z WSTOIn
Skocz do: nawigacji, wyszukiwania
(Utworzono nową stronę "Tekst projektu {{#l:Projektustawyantyterrorystycznej.pdf}}")
 
(uzupełnienie)
 
Linia 1: Linia 1:
Tekst projektu {{#l:Projektustawyantyterrorystycznej.pdf}}
+
{{Spis treści}}
 +
=== Materiały ===
 +
Ustawa tzw. antyterrorystyczna:
 +
*{{#l:Projektustawyantyterrorystycznej.pdf|Tekst projektu }}
 +
*{{#l:dokument219764.pdf|Nowy tekst projektu ustawy (z 05.05.2016)}}
 +
 
 +
Obecnie projekt jest w Stałym Komitecie Rady Ministrów [https://legislacja.rcl.gov.pl/projekt/12284561/katalog/12348751#12348751 i nie podlega konsultacjom.]<br />
 +
 
 +
Publiczne konsultacje prowadził Rzecznik Praw Obywatelskich ([https://www.rpo.gov.pl/pl/content/publiczne-konsultacje-rpo-na-temat-projektu-ustawy-o-dzia%C5%82aniach-antyterrorystycznych zapis debaty])<br />
 +
 
 +
*{{#l:Konsultacje_w_sprawie_projektu_ustawy_antyterrorystycznej_podsumowanie.pptx|Prezentacja wyników konsultacji}}
 +
 
 +
*{{#l:516_u.pdf|ustawa uchwalona przez Sejm na 20. posiedzeniu, przyjęta przez Senat bez poprawek}}
 +
*[http://sejm.gov.pl/sejm8.nsf/agent.xsp?symbol=USTAWY&NrKadencji=8&NrPosiedzenia=20 Strona Sejmu z wykazem ustaw uchwalonych na 20. posiedzeniu]
 +
 
 +
=== Termin ===
 +
* nie było terminu - brak skierowania do konsultacji
 +
 
 +
=== '''Opinia''' ===
 +
{| class="wikitable collapsible collapsed" width=100%
 +
! '''Tekst opinii'''
 +
|-
 +
|
 +
 
 +
Polskie Towarzystwo Informatyczne zaniepokojone niektórymi zapisami ustawy z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych prezentuje poniżej swoją opinię.<br><br>
 +
PTI nie kwestionuje potrzeby uchwalenia takiej ustawy. Z uznaniem odnotowujemy podjęcie konkretnych działań zmierzających do zwiększenia bezpieczeństwa obywateli. Jednakże niektóre zapisy tej ustawy budzą nasz szczególny niepokój. <br>
 +
<br />
 +
Są to: <br>
 +
(a) testy bezpieczeństwa systemów informatycznych (Art. 38 dodający do ustawy o ABW art. 32a) <br>
 +
(b) blokada dostępności do danych informatycznych (Art. 38 dodający do ustawy o ABW Art. 32c) <br>
 +
(c) personalizacja przedpłaconych kart telefonii komórkowej (Art. 43 dodający do ustawy Prawo telekomunikacyjne art. 60b) <br>
 +
<br />
 +
 
 +
Ad. (a)<br>
 +
Ustawa umożliwia ABW prowadzenie testów bezpieczeństwa krytycznych systemów informatycznych, np. operatorów telekomunikacyjnych. Zezwala na stosowanie zabiegów i narzędzia, które w innej sytuacji byłyby nielegalne. Nie precyzuje jednakże jak głęboko w strukturę teleinformatyczną badanych systemów mają wnikać te testy. Czy mogą dotyczyć serwerów lub komputerów osobistych użytkowników. Jeśli tak, to niesie to ryzyko inwigilacji danych przechowywanych na tych komputerach. Dodatkowo, wykorzystywanie oprogramowania przeznaczonego do przełamywania lub omijania zabezpieczeń, może skutkować zaburzeniami stabilności działania testowanych systemów i naruszeniem integralności danych.
 +
<br />
 +
Mamy świadomość, że państwo powinno stać na straży bezpieczeństwa obywateli. Niestety w naszym przekonaniu niektóre zapisy ustawy o działaniach antyterrorystycznych wykraczają poza ten cel. Ustawa przyznaje Agencji Bezpieczeństwa Wewnętrznego nowe uprawnienia i pozwala na ich wykorzystywanie bez odpowiedniej kontroli. Nie daje żadnych gwarancji, że uprawnienia te nie będą nadużywane i pozostaną pod kontrolą państwa.<br>
 +
<br />
 +
 
 +
Ad. (b) <br>
 +
Ustawa rozszerza kompetencje Szefa ABW o możliwość zablokowania danych informatycznych mających związek ze zdarzeniem o charakterze terrorystycznym. Blokowanie stron internetowych będzie się odbywać praktycznie bez udziału sądu, przynajmniej na 5 dni. Niestety ustawa nie precyzuje terminu „dane informatyczne”, co można rozumieć zarówno jako konkretne treści udostępnione na stronach internetowych jaki i całe portale internetowe, w tym również duże portale społecznościowe. W efekcie zablokowane mogą być zarówno pojedyncze strony jak i całe portale. Co więcej, widzimy także duży problem z brakiem przejrzystości ponieważ w przypadku blokowania stron nie ma obowiązku informowania o tym, że dana strona została zablokowana. W takiej sytuacji osoby korzystające z Internetu nie będę wiedziały czy niedostępność danej strony spowodowana jest zablokowaniem wskutek działania tej ustawy, czy, na przykład, z powodu awarii/błędów dostawcy Internetu.  Pociągać to może za sobą skutki nie tylko natury finansowej lecz także utratę wizerunku dostawcy treści. Mechanizm blokowania danych informatycznych nie polega na usunięciu treści u źródła, ale na utrudnieniu dostępu do nich, najczęściej poprzez filtrowanie zapytań o dostęp do danego adresu internetowego na poziomie operatora telekomunikacyjnego. W praktyce może to oznaczać konieczność stworzenia i utrzymywania (przez operatorów telekomunikacyjnych lub dostawców usług internetowych) infrastruktury filtrującej wszystkie zapytania użytkowników Internetu w Polsce. W kontekście blokowania stron pojawia się pytanie, czy ustawodawca, przewiduje również blokowanie takich usług jak TOR lub VPN. <br>
 +
Dodane przepisy nie precyzują sposobu realizowania blokady, która jest możliwa co najmniej nałożeniem blokady na adres IP lub na adres url. Blokada na adres IP zazwyczaj będzie oznaczała blokadę wielu innych niż inkryminowana stron www. Jednocześnie dodany przepis Prawa telekomunikacyjnego (Art. 32c.6.5) upoważnia Szefa ABW do dowolności w tym zakresie, czyli też żądania zablokowania adresu IP. Właściwym byłoby enumeratywne wskazanie, że blokadzie podlegają adresy url. W ustawie dana kwestia mogłaby być unormowana precyzyjnie, bez wskazanych niedokładności.<br>
 +
Blokowanie stron internetowych będzie miało też wymiar finansowy. Konieczność natychmiastowego zablokowania strony wymagać będzie poniesienia nakładów finansowych przez dostawców usług internetowych.  Ustawa nie określa żadnych mechanizmów gwarantujących przejrzystość działań Szefa ABW. Podmiot, którego dane zostaną zablokowane, ani odbiorca treści nie zostaną o tym fakcie poinformowani, co opóźnić może podjęcie przez nich odpowiednich działań w przypadku podjęcia błędnych decyzji przez Szefa ABW. <br>
 +
<br />
 +
 
 +
Ad. (c)<br>
 +
Wprowadzenie wymogu personalizacji kart przedpłaconych, czyli zlikwidowanie ich anonimowości, w oczywisty sposób jest związane ze spełnianiem wymogów ustawy o ochronie danych osobowych w każdym miejscu pobierania takich danych. Wymóg personalizacji oznacza radykalne poszerzenie liczby podmiotów, które zostaną zobligowane na mocy prawa do spełniania wymagań ochrony danych osobowych, w tym np. punkty sprzedaży detalicznej (potoczne kioski Ruchu). Aspekt ten nie jest wprawdzie oczywisty, ale nie został wspomniany w uzasadnieniu i ocenie skutków wprowadzenia ustawy. Wskazanie tego aspektu byłoby zgodnie z dobrymi praktykami analizy aktu normatywnego.<br>
 +
<br />
 +
 
 +
 
 +
W podsumowaniu, ze względu na aktualny stan legislacyjny, PTI przekazując ww. uwagi specjalistyczne, zwraca się do prezydenta Rzeczpospolitej o ich rozważenie przed podpisaniem ustawy lub w związku z takim rozważeniem zgłoszenie prezydenckiej nowelizacji ustawy.
 +
 
 +
 
 +
<small>Opracowanie: mgr Janusz Żmudziński, współpraca: dr inż. Przemysław Jatkiewicz, dr Danuta Kajrunajtys; korekta mgr Hanna Mazur, uzupełnienia i redakcja dr inż. Janusz Dorożyński</small>
 +
 
 +
 
 +
Opinia w wersji dostępnej do kopiowania znajduje się na platformie opiniowania PTI WSTOIn pod adresem https://wstoin.pti.org.pl/wiki/16-05.01#Opinia
 +
 
 +
|}
 +
 
 +
Wypracowanie opinii - patrz [[{{TALKPAGENAME}}|strona dyskusji]].
 +
 
 +
=== Dane o wysłaniu opinii ===
 +
Zlecone do wysłania 2016-06-22
 +
 
 +
Wysłane pisma/pliki:
 +
* {{#l:16-05.01.Opinia(skan)(Opinia_W_998_ZG_16 Prezydent RP).pdf|Skan wysłanej opinii do Prezydenta RP}}
 +
*: ponadto pismo wysłano do Marszałka Sejmu i do MSWiA

Aktualna wersja na dzień 16:27, 26 lip 2016