PIIT negatywnie o założeniach ustawy o spamie i spyware

O czym informowałem wcześniej - Ministerstwo Transportu i Budownictwa rozpoczęło proces konsultacji, dotyczący założeń do ustawy o spamie i spyware. Sporo o tym piszę w dziale "spam" niniejszego serwisu. Tym razem pragnę odnotować stanowisko Polskiej Izby Informatyki i Telekomunikacji w sprawie tego dokumentu, a stanowisko to jest delikatnie mówiąc - negatywne.

PIIT w pierwszej kolejności zwraca uwagę na proponowaną nazwę i proponuje ustalić ją w języku polskim. Wedle propozycji PIIT może ona brzmieć np. "Ustawa o zapobieganiu nieakceptowanej poczcie elektronicznej oraz szkodliwego oprogramowania". W swoich uwagach PIIT pisze: "Przy okazji warto może poszukać polskich nazw na oprogramowanie „malware”, „spyware”, „adware”, „phishing” itp. przy czym na przykład można zaakceptować po polsku pojęcie „spam”, „spamować”, „spim”, „spit” oraz „haker” i „kraker”. Jednym z obowiązkow ustawodawcy jest w porozumieniu z Radą Języka Polskiego ustalenie słownika polskich pojęć".

Zdaniem PIIT przedmiotowy dokument nie uzasadnia wystarczająco potrzeby opracowania specjalnej ustawy spamowej, gdyż:

a. Nie przedstawia żadnej analizy rzeczywistej skali występowania w Polsce tego typu przypadków, których źródłem jest działanie osoby fizycznej lub podmiotu znajdującego się na terenie Polski lub Unii Europejskiej.

b. Nie przedstawia żadnej analizy poziomu strat bezpośrednich i pośrednich wynikających z tego typu przypadków dla osób fizycznych, podmiotów gospodarczych oraz gospodarki kraju.

c. Nie przedstawia żadnej – nawet szacunkowej analizy kosztów koniecznych do poniesienia przy wdrożeniu tego typu ustawy przez osoby fizyczne, podmioty gospodarcze (szczególnie dostawców usług internetowych) oraz administrację państwową.

d. Nie precyzuje rzeczywistych odstępstw polskiego prawodawstwa od zapisów dyrektyw unijnych, wspominając tylko, że takie niewielkie różnice występują. e. Przedstawia wykaz istniejących zapisów prawnych pozwalających ścigać i karać rzeczywiste przestępstwa popełniane z wykorzystaniem internetu.

PIIT ocenia też negatywnie przedstawione we wnioskach dokumentu propozycje regulacji. Wymienia tu następujące argumenty, odnosząc się do konkretnych postulatów zapisanych w "założeniach":

a. [z tekstu założeń] doprecyzowanie definicji spamu, przy jednoczesnej potrzebie dyskusji nad rozszerzeniem zakresu przedmiotowego na zjawiska inne niż informacje handlowe,

Nie negując potrzeby stałego analizowania zakresu definicji spamu, poszerzanie jej na inne zjawiska niż informacje handlowe nie wydaje się obecnie celowe, gdyż ściganie i karanie za przesyłanie informacji o charakterze politycznym, religijnym, oraz za tzw. łańcuszki szczęścia etc. będzie i trudne i mało akceptowalne społecznie. Warto również rozpatrzyć propozycje dotyczące wprowadzenia regulacji typu only opt-in, czyli takiej która wprowadza możliwość rozsyłania informacji tylko do tych, którzy wcześniej jasno wyrazili chęć otrzymywania takiej informacji. Warto zwrócić uwagę, że przy dzisiejszym prawodawstwie spamem stały się de facto również pytania o możliwość dostarczenia informacji handlowej. Sprecyzowanie definicji spamu będzie trudnym zadaniem, gdyż w wielu przypadkach może to zależeć od kontekstu oraz odbiorcy, a także stosowanych rozwiązań technicznych. Dyskusyjne jest zapisane w dokumencie możliwości uznania za spam informacji przesyłanych na czatach internetowych, forach dyskusyjnych, czy w komunikatorach. Powstaje bowiem pytanie kto będzie oceniać czy dana informacja jest spamem, czy też tylko próbą nawiązania kontaktu?

b. zmiana kwalifikacji czynu z wykroczenia na regulacje karno-administracyjne (lub pozostawienie czynu jako wykroczenie),

Proponowanie natychmiastowej egzekucji w postaci mandatu może w wielu przypadkach prowadzić do nieuzasadnionego ukarania osoby lub podmiotu, które nie są bezpośrednimi sprawcami takiego czynu, gdyż wykrycie rzeczywistej przyczyny powstania danego szkodliwego zjawiska może wymagać bardzo specjalistycznej wiedzy i działania, a wskazany sprawca często nie będzie miał technicznych możliwości wykazania swojej niewinności. Warto również zbadać konsekwencje propozycji wszczynania postępowania z urzędu. Jeśli taka możliwość stałaby się również obowiązkiem to rodzą się uzasadnione obawy, że masowość zjawiska może doprowadzić do administracyjnego paraliżu instytucji odpowiedzialnej za wszczynanie takich postępowań. Warto też przypomnieć, że w ogólnie obowiązujące w Kodeksie Cywilnym, Kodeksie Karnym, Kodeksie postępowania administracyjnego istnieją odpowiednie procedury oraz obowiązują drastyczne kary nawet do 3 lat pozbawienia wolności (art. 288 § 1 Kodeksu karnego) za tego typu praktyki.

c. rozszerzenie zakresu podmiotowego na podmioty, na zlecenie których prowadzone są tego typu działania,

W tym przypadku jest to uzasadnione, ale już obecnie w polskim prawodawstwie zawsze jest możliwe wskazanie i ukaranie współsprawcy.

d. zdefiniowanie zjawiska tzw. pop-up windows i uznanie ich w świetle ustawy za czyn nieuczciwej konkurencji (reklama uciążliwa) w rozumieniu ustawy o zwalczaniu nieuczciwej konkurencji,

Znacząca część rozwoju internetu jest finansowana z reklam (podobnie jak komercyjna telewizja i prasa), a zjawisko „pop-up” jest tylko jedną z form takiej reklamy podobnie jak 15 minut reklamowej przerwy w trakcie filmu w TV, czy całkowicie obklejony reklamą tramwaj. Stąd też szczególne potraktowanie tego typu formy reklamy wydaje się nieuzasadnione. Dodatkowo tego typu zakazy stawiałyby w ewidentnie gorszej pozycji polskiego przedsiębiorcę w stosunku do przedsiębiorcy zagranicznego, sprawiając pogorszenie jego konkurencyjności. Rynek doczekał się skutecznych mechanizmów blokujących tego typu reklamy, co pozwala internaucie na samodzielną decyzję dotyczącą chęci zapoznawania się z reklamą skierowaną do niego z wykorzystaniem tych technik. Penalizacja wspomnianych technik może doprowadzić również do próby anonimizowania ich „nadawców”, co z kolei, jak pokazuje zjawisko spamu, często wiąże się z wykorzystaniem do dystrybucji cudzych zasobów.

e. powołanie specjalnej komórki przy Prezesie UKE właściwej dla ścigania spamu,

Nadanie Prezesowi UKE możliwości nadania tak szerokich uprawnień pracownikom proponowanej Inspekcji Telekomunikacyjnej, dotyczących prawa wstępu do pomieszczeń w celu przeprowadzenia kontroli dodatkowych zadań nie wydaje się celowe, a już prawo wchodzenia do mieszkań osób fizycznych (i to bez nakazu prokuratora gdyż proponuje się „z zastrzeżeniem wyjątków wskazanych w ustawie (czyli skrócenie terminów na załatwienie sprawy z uwagi na środowisko technologiczne, w którym zjawiska mają miejsce)”) rodzi poważne wątpliwości związane z możliwościami naruszania praw obywatelskich i będzie bardzo negatywnie społecznie odebrane. Biorąc pod uwagę, że komórki do zwalczania przestępstw komputerowych powstały już przy Policji, to wydaje się niecelowe tworzenie kolejnego organu państwowego uprawnionego do prowadzenia śledztw, przeszukań, zabezpieczania dowodów, i innych tego typu czynności.

f. dodatkowo należy podjąć próbę stworzenia procedur i narzędzi do skutecznej walki ze zjawiskami malware,

Walka ze zjawiskiem malware jest skuteczna po stronie producenta danego oprogramowania, które może być celem ataku hakera (a właściwie krakera [ang. Craker], gdyż haker nie robi krzywdy właścicielowi komputera, do którego się „włamał”). W każdym innym przypadku jest to standardowe zabezpieczenie funkcjonowania danego systemu komputerowego poprzez odpowiednie oprogramowanie ochrony systemu (firewall), ustawienie parametrów programu obsługi poczty elektronicznej (blokada określonych tematów i adresów), przeglądarki (blokada „po-up’ów” i banerów reklamowych). Dostępne jest też oprogramowanie antywirusowe, antyspamowe oraz anty „spyware’owe”.

NASK prosi o skorygowanie pewnej informacji. Otóż opis dotyczący CERT Polska powinien mieć następującą postać: "Zespół ten działa w ramach Naukowej i Akademickiej Sieci Komputerowej, będącej jednostką badawczo-rozwojową, nadzorowaną przez MeiN", a dalej, na kolejnych dwóch stronch dokumentu (PDF), znajdują się pewne stwierdzenia, dokonane "na podstawie informacji uzyskanych od dostawców usług internetowych".

Wśród nich należy zwrócić uwagę na takie jak (wyjmuję z kontekstu): "Większość (...) spamu jest wynikiem korzystania przez użytkownika z witryn erotycznych lub umożliwiających kopiowanie nielicencjonowanych utworów...", "Dotychczas w Polsce nie odnotowano przypadku rozsyłania spamu w języku polskim na dużą skalę"... Stwierdzenia te wypunktowano, oznaczając je od litery a. do litery h.

Wniosek PIIT:

PIIT uważa, że obecnie przy niewielkim w stosunku do innych krajów Unii Europejskiej rozpowszechnieniu korzystania z internetu, podstawowym zadaniem administracji publicznej, instytucji państwowych i prywatnych, placówek edukacyjnych, sektora gospodarczego, a w tym sektora teleinformatycznego powinno być upowszechnianie i promocja korzystania z internetu we wszystkich środowiskach społecznych. Tworzenie zaś poprzez ustawę możliwości penalizacji nawet zwykłych użytkowników tylko z powodu możliwości użycia ich komputera do przestępstwa typu spam, nie wydaje się dobrym rozwiązaniem.

Po podsumowaniu argumentacji pada jeszcze na koniec następujące stwierdzenie:

PIIT negując potrzebę ustawy o spamowej, jednocześnie widzi potrzebę nowelizacji już istniejących ustaw dotyczących rynku teleinformatycznego zarówno pod kątem dostosowania ich do aktualnych rozwiązań technicznych, jak i też do modyfikacji na podstawie zebranych doświadczeń z ich stosowania oraz ze względu na rzeczywiste istniejące zagrożenia. PIIT deklaruje swoją pomoc merytoryczną w analizowaniu tego typu ustaw.