Cyberbezpieczeństwo
Nowe projekty ustaw o Prawie komunikacji elektronicznej zagrażają cyberbezpieczeństwu i prywatności użytkowników
Alarmuje Związek Cyfrowa Polska. Eksperci organizacji zwracają uwagę między innymi na kwestie dostępu służb do danych wrażliwych oraz na konieczność przenoszenia centrów danych do Polski. Stoi to w sprzeczności z ideą jednolitego rynku cyfrowego i może nieść za sobą konkretne zagrożenia z dziedziny bezpieczeństwa cyfrowego, podkreślają przedstawiciele związku.
Projekty dwóch ustaw dotyczących prawa komunikacji elektronicznej wpłynęły do Sejmu w grudniu. Wprowadzenie nowych przepisów jest konieczne, bo ma na celu wykonanie prawa Unii Europejskiej i zastąpienie przestarzałej ustawy o prawie telekomunikacyjnym z 2004 roku. “Jako przedstawiciele organizacji branżowej, zrzeszającej największe firmy z branży nowoczesnych technologii, dostrzegamy jednak konieczność rewizji kilku najbardziej kontrowersyjnych zapisów. Dlatego wystosowaliśmy pismo do marszałek Elżbiety Witek, w którym ze szczegółami wyjaśniamy problematyczne kwestie” – tłumaczy Michał Kanownik, prezes Związku Cyfrowa Polska.
Zastrzeżenia ekspertów wzbudza przede wszystkim artykuł 43, nakładający na przedsiębiorców komunikacji elektronicznej obowiązek udzielenia służbom państwowym dostępu do danych użytkowników. Obowiązek ten musi zostać zrealizowany w ciągu 24 godzin bez kontroli sądowej. Przede wszystkim jednak artykuł 43 nie precyzuje okoliczności, w jakich służby mogą uzyskać prywatne dane użytkowników sieci. Co zdaniem Cyfrowej Polski może doprowadzić do naruszeń praw i wolności zagwarantowanych w Konstytucji.
Specjaliści podkreślają także krótki termin realizacji przepisu o wydaniu dostępu do danych. W piśmie do marszałek Elżbiety Witek zwracają uwagę, że w 24 godziny trudno zrealizować każde żądanie, tym bardziej, gdy mowa o podmiotach operujących w sferze wirtualnej i zapewniających funkcjonowanie systemów na całym świecie.
Tymczasem, zgodnie z projektem ustawy, jeszcze mniej czasu daje przedsiębiorcom artykuł 53, dotyczący nakazu zatrzymania świadczenia usług w przypadku niejasno określonego „zagrożenia obronności, bezpieczeństwa państwa lub porządku publicznego”. Jeśli wystąpią takie przesłanki, przedsiębiorca musi w ciągu 6 godzin zablokować wskazane przez odpowiedni urząd przekazy lub połączenia. A to termin, który w wielu przypadkach może być niewykonalny – usługi komunikacji elektronicznej są często świadczone spoza terytorium Polski, a ich operatorzy funkcjonują według różnych stref czasowych.
Wątpliwości specjalistów budzi też tryb ustnego przekazania takiej decyzji. “Uważamy, że tak istotne przepisy powinny być skonstruowane w sposób maksymalnie przejrzysty i nie budzący wątpliwości w kwestii zgodności z zasadami konstytucyjnymi. Tymczasem zastosowane środki wydają się nieproporcjonalne i nieracjonalne, a często wręcz niemożliwe do spełnienia. Nie spełniają one zasady pewności prawa ani nie gwarantują skutecznego środka odwoławczego od wydanej decyzji” – wyjaśnia Michał Kanownik.
Przechowywanie danych wyłącznie na terytorium Polski
Kolejny kontrowersyjny zapis nakazuje przedsiębiorcom przechowywanie danych wyłącznie na terytorium Polski (artykuł 47). Według ekspertów nakładanie takiego obowiązku na wszystkie podmioty świadczące usługi komunikacji elektronicznej czy przedsiębiorców telekomunikacyjnych jest nie tylko nadmiarowe i nietransparentne, ale stoi również w sprzeczności z ideą jednolitego rynku cyfrowego.
Pojawiają się pytania – jak realizacja przepisu miałaby wyglądać z technicznego punktu widzenia? Czy cyfrowi giganci zostaliby zmuszeni do przenoszenia obszernych serwerowni na teren Polski? Takie rozwiązanie, jak dowodzi Cyfrowa Polska, nie powinno być wprowadzane odgórnie. Każda firma technologiczna korzysta bowiem ze swojej infrastruktury, której nie da się przebudować w krótkim czasie (według obecnie proponowanych zapisów: sześć miesięcy od wprowadzenia w życie PKE) bez konsekwencji dla cyberbezpieczeństwa. Tym bardziej, że fizyczna lokalizacja danych na terytorium danego państwa niekoniecznie musi się wiązać z ich ochroną przed nieuprawnionym dostępem – bardziej liczą się stosowane rozwiązania techniczne i wypracowane już procedury. Ich nagła zmiana może być groźna w skutkach, podkreślają specjaliści.
Ewentualne zmiany dotkną wszystkich użytkowników
W piśmie do marszałek Elżbiety Witek czytamy, że przepisy tej rangi „powinny podlegać szerokim konsultacjom społecznym i spotkaniom warsztatowym celem wypracowania przemyślanych rozwiązań, nie naruszających zasady swobody prowadzenia działalności gospodarczej i uwzględniających realia ekonomiczne oraz technologiczne”. Tymczasem kontrowersyjne artykuły zostały dodane na ostatnim etapie prac rządowych, bez jakichkolwiek konsultacji z rynkiem.
Ingerencja w zaproponowane przez rząd przepisy jest według Cyfrowej Polski konieczna, bo wprowadzenie ustaw o PKE będzie się wiązać z fundamentalną zmianą zasad funkcjonowania rynku cyfrowego w Polsce. A to dotknie nie tylko przedsiębiorców z branży cyfrowej, ale przede wszystkim końcowych użytkowników sieci, czyli nas wszystkich.