Ciąg dalszy historii zdobywania specyfikacji Płatnika

Wielu czytelników zapomniało już pewnie, że wciąż toczy się postępowanie przed sądem, którego celem jest uzyskanie informacji publicznej - specyfikacji technicznej formatu KSI MAIL, wykorzystywanego przez program Płatnik - Przekaz Elektroniczny, służący do wymiany dokumentów płatników składek z Zakładem Ubezpieczeń Społecznych. W międzyczasie sprawą zajmował się już dwa razy Naczelny Sąd Administracyjny, pojawiła się też ingerencja ustawodawcy, który odniósł się do neutralności technologicznej ZUS, kreując ustawę o informatyzacji. Dziś mamy kolejną odsłonę w toczącej się przed sądem powszechnym sprawie – opinię sądową specjalisty w dziedzinie kryptografii.

Ta kolejna odsłona, to opinia sądowa dra hab. Aleksandra Wittlina (specjalista w dziedzinie kryptografii, m.in. Sekcja Kryptologii i Ochrony Informacji Instytut Matematyczny Polskiej Akademii Nauk), dotycząca sprawy z powództwa Sergiusza Pawłowicza przeciwko ZUS. W swojej opinii przygotowanej dla Sądu Rejonowego dla Warszawy-Mokotowa, Wydział XVI Cywilny, dr hab. Aleksander Wittlin odpowiedział na pytania: czym jest protokół KSI MAIL, jaka jest jego budowa, jaką funkcję spełnia w zakresie przekazywania danych pomiędzy płatnikiem składek a ZUS. Ustosunkował się również do kwestii: czy narzędzia użyte do budowy protokołu KSI MAIL są powszechnie dostępne, względnie czy ich budowa jest ogólnie znana (to istotne ze względu na tajemnicę przedsiębiorstwa- wykonawcy, którą zasłaniał się ZUS nie chcąc udzielić informacji). Wreszcie, celem opinii było odpowiedzenie napytanie, czy udostępnienie specyfikacji technicznej przedmiotowego protokołu może stanowić zagrożenie dla bezpieczeństwa danych zgromadzonych w bazach ZUS, w szczególności czy może stanowić zagrożenie w zakresie zwiększenia ryzyka możliwości naruszenia prywatności osób fizycznych (płatników składek).

W konkluzji swojej sześciostronicowej opinii dr Wittlin napisał:

Reasumując, chociaż możliwe jest wyobrażenie hipotetycznych scenariuszy ataku na aplikację realizującą protokół KSI MAIL w celu pozyskania lub modyfikacji danych płatników składek (pisze o tym w swojej opinii prof. dr Kutyłowski) atak taki nie jest bezpośrednio związany ze znajomością protokołu KSI MAIL, ale raczej ze szczegółami implementacji stosownych algorytmów. W związku z tym, ani argumenty ZUS, ani też powszechnie przyjęte dobre praktyki ochrony informacji nie dostarczają przekonywujących argumentów za ukrywaniem specyfikacji protokołu będącego przedmiotem pozwu.

Całość zacytowanej opinii znajdzie czytelnik na stronie Sergiusza Pawłowicza (powoda w tej sprawie). Tam również przywołana w konkluzji opinia prof. Mirosława Kutyłowskiego (Politechnika Wrocławska), przygotowana na potrzeby wcześniejszego postępowania administracyjnego.

W pozwie jaki skierował Sergiusz Pawłowicz do sądu mec. Artur Kmieciak, pełnomocnik powoda, wnosi o:

  1. Nakazanie pozwanemu Zakładowi Ubezpieczeń Społecznych w Warszawie udostępnienia powodowi Sergiuszowi Pawłowiczowi informacji publicznej - specyfikacji technicznej protokołu KSI MAIL wykorzystywanego w programie komputerowym "Płatnik - przekaz elektroniczny"
  2. Zasądzenia od pozwanego na rzecz powoda kosztów procesu
  3. rozpoznanie sprawy w nieobecności powoda

Ponadto powód wniósł o dopuszczenie dowodu z opinii biegłych z zakresu informatyki i kryptografii na okoliczność, czy ujawnienie specyfikacji technicznej protokołu (...) zagraża bezpieczeństwu systemu informatycznego ZUS oraz bezpieczeństwu gromadzonych przez Zakład danych.

Pozew do Sądu Rejonowego został złożony 5 stycznia 2004 r (dwa i pół roku temu, a do tej pory odbyła się tylko jedna, jedyna rozprawa! Niewiadomo kiedy sąd wyznaczy kolejną rozprawę). Treść pozwu wraz z uzasadnieniem dostępna jest również na wyżej przywołanej stronie. Dodam od siebie, że równolegle do działań Sergiusza również Internet Society próbowało wydostać z ZUS przedmiotową specyfikację (doniesienia dotyczące tej sprawy dostępne są pod przywołanymi niżej, na końcu tej notatki, odnośnikami).

Sprawa neutralności technologicznej systemu ZUS doczekała się również ingerencji ustawodawcy. W artykule 59 ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne czytamy:

Art. 59. Zakład Ubezpieczeń Społecznych dostosuje system informatyczny do wymagań wynikających z przepisów art. 40 w terminie 2 lat od dnia wejścia ustawy w życie.

Ustawa o informatyzacji weszła w życie 21 lipca 2005 roku, a artykuł 40, o którym mowa wyżej, brzmi:

Art. 40. W ustawie z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. Nr 137, poz. 887, z późn. zm.9)) wprowadza się następujące zmiany:

1) w art. 36 ust. 9 otrzymuje brzmienie:

"9. Zgłoszeń do ubezpieczeń społecznych według ustalonego wzoru, z zastrzeżeniem ust. 9a, albo w formie dokumentu elektronicznego w rozumieniu przepisów ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. Nr 64, poz. 565) z oprogramowania, o którym mowa w art. 47a ust. 1, albo w formie wydruku z tego oprogramowania dokonuje się w jednostce organizacyjnej Zakładu. Na podstawie pierwszego zgłoszenia do ubezpieczeń społecznych zakładane jest konto, o którym mowa w art. 33 ust. 1 pkt 1.";

2) w art. 43 ust. 3 otrzymuje brzmienie:

"3. Płatnik składek jest obowiązany złożyć druk - zgłoszenie płatnika składek, o którym mowa w ust. 1, w formie dokumentu pisemnego według ustalonego wzoru albo w formie wydruku z oprogramowania, o którym mowa w art. 47a ust. 1, we wskazanej przez Zakład jednostce organizacyjnej Zakładu.";

3) w art. 44 ust. 2 otrzymuje brzmienie:

"2. O wszelkich zmianach dotyczących numerów, o których mowa w art. 43 ust. 3a, oraz nazwy skróconej płatnika składek, a w przypadku płatników składek będących osobami fizycznymi także nazwiska, pierwszego imienia i daty urodzenia, płatnik składek zawiadamia w formie dokumentu pisemnego według ustalonego wzoru albo w formie wydruku z oprogramowania, o którym mowa w art. 47a ust. 1, wskazaną przez Zakład jednostkę organizacyjną Zakładu.";

4) w art. 47 w ust. 4a pkt 2 otrzymuje brzmienie:

"2) dokumentu elektronicznego z oprogramowania, o którym mowa w art. 47a ust. 1, lub wydruku z tego oprogramowania,";

5) w art. 47a:

a) ust. 1 otrzymuje brzmienie:

"1. Z zastrzeżeniem ust. 1a-3, płatnicy składek są obowiązani przekazywać zgłoszenia do ubezpieczeń społecznych, o których mowa w art. 36 ust. 10, imienne raporty miesięczne, o których mowa w art. 41 ust. 3, deklaracje rozliczeniowe, o których mowa w art. 46 ust. 4, inne dokumenty niezbędne do prowadzenia kont płatników składek i kont ubezpieczonych oraz korekty tych dokumentów poprzez transmisję danych w formie dokumentu elektronicznego z oprogramowania, którego zgodność z wymaganiami określonymi przez Zakład na podstawie art. 13 ust. 2 pkt 2 lit. a) ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne została potwierdzona w sposób określony w art. 21 i 22 tej ustawy.",

b) ust. 2 otrzymuje brzmienie:

"2. Płatnicy składek rozliczający składki nie więcej niż za 5 osób mogą przekazywać dokumenty, o których mowa w ust. 1, w formie dokumentu pisemnego według ustalonego wzoru albo w formie wydruku z oprogramowania, o którym mowa w ust. 1.",

c) ust. 2a otrzymuje brzmienie:

"2a. Dokumenty elektroniczne, o których mowa w ust. 1, opatruje się bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu w rozumieniu ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. Nr 130, poz. 1450, z późn. zm.10)) osoby odpowiedzialnej za przekazanie tych dokumentów.",

d) ust. 3 otrzymuje brzmienie:

"3. W uzasadnionych przypadkach Zakład może upoważnić płatnika składek rozliczającego składki za więcej niż 5 osób do przekazywania dokumentów, o których mowa w ust. 1, w formie dokumentu pisemnego według ustalonego wzoru albo w formie wydruku lub na informatycznych nośnikach danych, z oprogramowania, o którym mowa w ust. 1.",

e) ust. 6 otrzymuje brzmienie:

"6. Płatnikom składek, o których mowa w ust. 1, Zakład ma prawo przekazywać informacje w formie dokumentu elektronicznego poprzez transmisję danych, mając na uwadze wymagania, jakie muszą spełnić płatnicy składek przekazujący dokumenty, o których mowa w ust. 1, w formie dokumentu elektronicznego poprzez transmisję danych.",

f) ust. 7 otrzymuje brzmienie:

"7. Minister właściwy do spraw zabezpieczenia społecznego, w porozumieniu z ministrem właściwym do spraw informatyzacji, określi, w drodze rozporządzenia, wymagania, jakie muszą spełnić płatnicy składek przekazujący dokumenty, o których mowa w ust. 1, w formie dokumentu elektronicznego poprzez transmisję danych, uwzględniając potrzebę zapewnienia warunków niezbędnych dla prawidłowego przekazywania dokumentów oraz zasadę równego traktowania wszystkich powszechnie używanych w kraju systemów operacyjnych, a także potrzebę umożliwienia, wszystkim podmiotom obowiązanym do przekazywania dokumentów elektronicznych, stosowania oprogramowania dostosowanego do używanych platform systemowych bez konieczności ponoszenia dodatkowych kosztów licencyjnych.".

Przeczytaj również wcześniejsze doniesienia na ten i podobne tematy:

Podobne doeniesienia gromadzę w działach informatyzacja, e-government oraz dostępność.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>