Specyfikacja Płatnika to informacja publiczna - orzekł sąd

ekran logowania programu PłatnikZgodnie z wcześniejszymi zapowiedziami - dziś Sąd Rejonowym dla Warszawy - Mokotowa ogłosił wyrok w sprawie z powództwa Sergiusza Pawłowicza przeciwko ZUS o udostępnienie specyfikacji technicznej protokołu KSI MAIL (por. również: O Płatniku i ZUS z neutralnością i otwartością w tle). Sąd przyznał rację Sergiuszowi. Ta sprawa ma kolosalne znaczenie, gdyż tego typu procesów cywilnych związanych z udostępnieniem informacji publicznej nie ma w Polsce jeszcze zbyt wiele. Interesujący dla badaczy jest również przedmiot sporu - specyfikacja techniczna.

Jest tak. Sąd uznał, że tego typu protokół komunikacyjny (wykorzystywany w programie komputerowym “Płatnik – przekaz elektroniczny” autorstwa firmy Prokom Software S.A.) jest informacją publiczną. Sąd przychylił się do stanowiska powoda (wyartykułowanego m.in. w poniżej przedstawionym "Głosie do protokołu", który przedstawił sądowi mec. Artur Kmieciak, reprezentujący Sergiusza w tej sprawie również we wcześniejszym postępowaniu administracyjnym), że nie mieliśmy tu do czynienia z informacją stanowiącą tajemnicę przedsiębiorstwa, że jej przekazanie nie naraziłoby systemu informatycznego ZUS na zagrożenie bezpieczeństwa, etc. Sąd odniósł się również do ustawy o informacji podmiotów realizujących zadania publiczne (ustawa ta wprowadziła pewne przepisy dotyczące ZUS, jednak sąd uznał, że już dziś informacje, których domagał się Sergiusz Pawłowicz są informacją publiczną, zatem może on oczekiwać ich udostępnienia)...

Szczegóły w jutrzejszej Rzeczpospolitej :)

Zapytałem Sergiusza Pawłowicza o komentarz. Napisał właśnie (komunikacja jabberowa działa szybko): "Jestem bardzo zadowolony z wyroku sądu. W cyklu 4 postępowań przed rozmaitymi instancjami sądowniczymi w Polsce, dopiero tutaj dano mi szanse udowodnienia, że ZUS od początku oszukiwał mnie i społeczeństwo, działając na szkodę Państwa. Mam nadzieję, że konsekwencja, z jaką prowadziłem postępowanie będzie wskazówką dla władzy, że społeczeństwo obywatelskie staje się powoli faktem, i że kończą się relacje feudalne z rządzącymi. Chciałbym również zaznaczyć, że wygrana jest w dużej mierze zasługą mojego adwokata, mecenasa Artura Kmieciaka, cieszę się, że mogłem pracować z jednym z najlepszych specjalistów prawnych w dziedzinie informatyki w kraju. Mam nadzieję, że ZUS nie odwoła się od wyroku, gdyż takie działanie tylko odwlecze rzecz w czasie, powiększając koszty społeczne".

Ja zaś spodziewam się (chociaż nie mam w tym zakresie żadnych informacji), że ZUS odwoła się jednak od wyroku do Sądu Okręgowego. Tak czy inaczej - wyrok sądu rejonowego jest interesujący i myślę, że na stałe wejdzie do publicznej debaty i piśmiennictwa dotyczącego dostępu do informacji publicznej. Można spodziewać się niebawem kolejnych informacji. Liczę, że uda się opublikować treść wyroku (ale w tym zakresie trzeba poczekać na jego przekazanie pełnomocnikowi Sergiusza). Mecenas Artur Kmieciak zabierał już głos na forum niniejszego serwisu, zatem liczę, że również tym razem znajdzie czas by podzielić się z czytelnikami swoimi spostrzeżeniami dotyczącymi sprawy.

GŁOS DO PROTOKOŁU
Rozprawy z dnia 25 listopada 2006 r.

W pozwie z dnia 5.01.2004 r. powód Sergiusz Pawłowicz, działając na podstawie przepisów ustawy o dostępie do informacji publicznej, wniósł o nakazanie pozwanemu ZUS udostępnienia informacji publicznej – specyfikacji technicznej protokołu KSI MAIL wykorzystywanym w programie komputerowym “Płatnik – przekaz elektroniczny” autorstwa firmy Prokom Software S.A. Wniesiony przed Sąd Rejonowy dla Warszawy – Mokotowa pozew jest kolejną, po wyczerpaniu drogi postępowania przed sądem administracyjnym, próbą uzyskania dostępu do dokumentacji protokołu KSI MAIL.

Na wstępie należy zauważyć, że takie zagadnienia jak stosowanie wobec ZUS ustawy o dostępie do informacji publicznej podobnie, jak to, iż specyfikacja techniczna oprogramowania może być informacją publiczna w rozumieniu ustawy nie stanowi sporu miedzy stronami. W tej sytuacji zagadnieniem spornym podlegającym rozstrzygnięciu jest to, czy przesłanki wskazane przez pozwanego jako uzasadniające odmowę udostępnienia są zasadne. W ocenie powoda nie są.

Pozwany ZUS konsekwentnie – począwszy od decyzji z dnia 11.07.03 r., a następnie decyzji z dnia 12.08.03 r. odmawia udostępnienia specyfikacji powołując się na różne przesłanki uzasadniające w jego ocenie odmowę udostępnienia specyfikacji. W pierwszej kolejności pozwany Zakład, wskazał na to, że ujawnienie specyfikacji technicznej protokołu stanowi zagrożenie bezpieczeństwa całego sytemu informatycznego ZUS, naruszenie tajemnicy służbowej zakładu oraz na ustawową wyłączność programu udostępnianego przez Zakład płatnikom składek. Dopiero w decyzji z dnia 12.08.03 r. pojawiła się dodatkowa przesłanka w postaci tajemnicy przedsiębiorcy tj. tajemnicy firmy Prokom Software S.A z siedzibą w Warszawie. Należy zauważyć, że to właśnie ta przesłanka, przywołana dopiero w drugiej decyzji, zaważyła nad odrzuceniem skargi wniesionej przez Sergiusza Pawłowicza przed NSA w Warszawie. Przesłanka ta jest o tyle istotna, iż w odpowiedzi na pozew jedynie ona właśnie – tajemnica przedsiębiorcy – Firmy Prokom Software jako jedyna ma uzasadniać odmowę udostępnienia specyfikacji technicznej protokołu.

Można w tym miejscu postawić pytanie o to, co stało się z pozostałymi przesłankami odmowy udostępnienia specyfikacji takimi jak, przykładowo, zagrożenie bezpieczeństwa całego systemu informatycznego ZUS? A jest to pytanie o tyle uprawnione, iż pozwany wprawdzie nie przywołuje tej przesłanki w toku postępowania przed sądem powszechnym to jednak decyzje ZUS wskazujące na powyższą przyczynę nie zostały w żaden sposób uchylone czy unieważnione – zakładać zatem należy, że zawarte w nich rozstrzygniecie wraz z jego uzasadnieniem pozostaje w mocy.

Nie można zatem, tak jak to zostało zrobione w odpowiedzi na pozew, przejść nad zasadnością powyższych przesłanek do porządku dziennego, tak jakby nigdy nie zostały podniesione. Nie inaczej potraktował tę kwestię sąd orzekający w niniejszej sprawie formułując pytania jakie postawione zostały biegłemu: “czy udostępnienie specyfikacji technicznej przedmiotowego protokołu może stanowić zagrożenie dla bezpieczeństwa danych zgromadzonych w bazach ZUS, w szczególności czy może stanowić zagrożenie w zakresie zwiększenia możliwości naruszenia prywatności osób fizycznych (płatników składek).” (postanowienie Sądu Rejonowego dla Warszawy Mokotowa z dnia 19.04.05 r.)

Odpowiedź biegłego na tak sformułowane pytanie jest wprawdzie złożona, ale nie pozostawia żadnych wątpliwości.

1) Po pierwsze, “Niewątpliwie, z punktu widzenia sztuki inżynierskiej byłoby fatalnym błędem, niezwiązanym zresztą z istotą obecnego pozwu, gdyby bazy danych ZUS nie zawierały wszystkich stosownych dla tego typu aplikacji zabezpieczeń integralności danych i systemu”. Problem bezpieczeństwa baz danych i zawartych w nich informacji jest niezwiązany z istotą obecnego sporu – nie dotyczy w ogóle kwestii ujawnienia specyfikacji protokołu. To, czy specyfikacja taka jest dostępna publicznie czy też nie jest nie ma znaczenia dla jakości zabezpieczeń całego systemu, w tym zabezpieczeń baz danych i zawartych w nich informacji. Te ostatnie muszą po prostu spełniać wysokie standardy bezpieczeństwa niezależnie od tego, czy protokoły komunikacyjne są jawne, czy też nie.

Sytuacja, w której bezpieczeństwo zgromadzonych ma rachunkach bankowych środków zależałyby do tajności protokołów komunikacyjnych pomiędzy komputerem klienta a komputerem banku oznaczałoby nie mniej nie więcej tylko załamanie całego systemu bankowości elektronicznej. Tym bardziej może dziwić argumentacja w tej kwestii pozwanego Zakładu. Z decyzji ostatecznej ZUS wynika, bowiem, że ujawnienie protokołu może zagrozić bezpieczeństwu całego systemu i zgromadzonych w nim danych ubezpieczonych. Nie umknęło to uwadze biegłego, który stwierdza, iż trzeci akapit pisma ZUS zdaje się sugerować, iż bazy danych Zakładu nie zawierają stosownych zabezpieczeń integralności danych i systemu. W ocenie strony powodowej z akapitu tego wynika po prostu, iż system informatyczny ZUS nie zawiera koniecznych z punktu widzenia sztuki inżynierskiej zabezpieczeń.

2) Miarą jakości bezpieczeństwa całego systemu przetwarzania i ochrony danych jest jego najsłabszy element. Biegły dr hab. Aleksander Wittlin, podobnie jak wcześniej prof. dr hab. Mirosław Kutyłowski, wskazuje w tym miejscu na system operacyjny Windows komputerów użytkowników programu”Płatnik”, jako potencjalnie najsłabszy element całego systemu teletransmisji danych. Dodatkowo, obecność w komputerze użytkownika różnego oprogramowania, w tym takiego, które mogą albo przechwytywać informacje przesyłane przez pakiet KSI MAIL albo nawet je aktywnie modyfikować stanowią poważne wyzwanie dla projektantów systemu ochrony informacji. Biegły wyraźnie jednak podkreśla – jest to problem wynikający ze słabości systemu operacyjnego lub innych aplikacji, a nie jawności protokołu komunikacyjnego.

“Ale do takiego ataku potrzebna byłaby wiedza o konstrukcji aplikacji (kod źródłowy i temu podobne informacje) KSI MAIL, a nie sama specyfikacja protokołu”. Wniosek biegłego nie może pozostawiać żadnych wątpliwości: “Reasumując, chociaż możliwe jest wyobrażenie hipotetycznych scenariuszy ataku na aplikację realizującą protokół KSI MAIL w celu pozyskania lub modyfikacji danych płatników składek, (...) atak taki nie jest bezpośrednio związany ze znajomością protokołu KSI MAIL, ale raczej ze szczegółami implementacji stosownych algorytmów”.

Warto w tym miejscu wspomnieć, co w kwestii bezpieczeństwa systemu informatycznego ZUS i bezpieczeństwa zgromadzonych w nim danych ubezpieczonych ma do powiedzenia wspomniany już prof. dr hab. Mirosław Kutyłowski. Załączona do akt sprawy “Opinia w sprawie jawności formatu a bezpieczeństwa przekazu danych” z dnia 2.12.03 r. nie jest wprawdzie opinią sądową – sporządzona została na prośbę strony na potrzeby postępowania administracyjnego - nie może być jednak żadnych wątpliwości, co do jej przydatności dla rozstrzygnięcia w niniejszej sprawie. Autor opinii - prof. dr hab. Mirosław Kutyłowski jest niekwestionowanym autorytetem z zakresu kryptografii, autorem wielu publikacji naukowych.

W opinii czytamy:

  • Współczesne technologie bezpiecznej transmisji danych nie wymagają poufności stosowanych algorytmów i formatu danych. Niejawność informacji na ten temat nie podnosi bezpieczeństwa systemu w przypadku zastosowania wiarygodnych metod ochrony.
  • Upublicznienie metody transmisji danych nie miałoby jakiegokolwiek negatywnego wpływu na poziom bezpieczeństwa danych do ZUS.
  • System ochrony danych w trakcie transmisji od płatników do ZUS oparty jest na standardowych i wiarygodnych algorytmach kryptograficznych. Tym samym ujawnienie szczegółów na temat sposobu kodowania nie zmniejsza poziomu bezpieczeństwa, dokładnie tak samo, jak to mam miejsce w przypadku bezpiecznych podpisów elektronicznych.

W tej sytuacji nie może ulegać żadnej wątpliwości to, że przesłanka odmowy dostępu do informacji publicznej w postaci rzekomego zagrożenia bezpieczeństwa systemu informatycznego ZUS, w tym także bezpieczeństwa gromadzonych w nim danych ubezpieczonych jest w świetle współczesnej wiedzy inżynieryjnej nieprawdziwa. Ujawnienie protokołu komunikacyjnego KSI MAIL nie może stanowić zagrożenia dla systemu informatycznego ZUS, ani tym bardziej dla bezpieczeństwa przetwarzanych przez system danych ubezpieczonych.

Należy z przykrością stwierdzić, iż Zakład Ubezpieczeń Społecznych powołując się na powyższą przesłankę wprowadzał powoda w błąd i to, w świetle przebiegu całego postępowania o udostępnienie informacji publicznej, wprowadzał w błąd jak najbardziej świadomie. Kierownictwo ZUS mając do dyspozycji fachowe wsparcie takich firm informatycznych jak Prokom Software S.A czy Unizeto sp. z o.o. nie mogło nie wiedzieć, że ujawnienie specyfikacji protokołu nie stanowi zagrożenia dla systemu informatycznego Zakładu. Jest to przecież standard zgodny z najlepszymi wzorami współczesnej teorii i praktyki informatycznej, który informatykom obu powyższych firm jest doskonale znany.

Wystarczy powiedzieć, że firma Unizeto sp. z o.o. jest jednym z trzech kwalifikowanych podmiotów świadczących usługi certyfikacyjne wpisanym do rejestru takich podmiotów. Przedmiotem działalności firmy jest, między innymi, wydawanie kwalifikowanych certyfikatów będących elementem infrastruktury klucza publicznego. Fakt publicznej dostępności narzędzi kryptograficznych takich jak protokoły komunikacyjne, biblioteki i algorytmy kryptograficzne jest dla pracowników tej firmy czymś oczywistym – chociażby z tego powodu, że są one wykorzystywane w oferowanych przez firmę produktach. Aby dalej nie szukać - protokół KSI MAIL – oparty jest o pakiet SSL/OPEN SSL, wykorzystuje algorytmy 3DES i RSA oraz SHA1 jako funkcję skrótu, o czym niżej.

W tym stanie rzeczy mamy do czynienia z sytuacją, w której instytucja publiczna odmawia obywatelowi dostępu do informacji publicznej świadomie powołując się na nieprawdziwe przesłanki. Rzekome zagrożenie bezpieczeństwa systemu staje się jedynie pretekstem dla uniknięcia konieczności współpracy z niezależnymi programistami i konieczności udzielenia odpowiedzi na kilka niewygodnych pytań – między innymi na to – dlaczego program “Płatnik” napisany został jedynie na jedną platformę operacyjną autorstwa międzynarodowego koncernu?

Niezależnie od tego, czy w niniejszej sprawie zapadnie wyrok zgodny z żądaniem powoda to jedno można powiedzieć z całą pewnością - proces ten jasno wykazał, że ZUS powołując się na nieistniejące zagrożenie bezpieczeństwa systemu, jako na przesłankę odmowy udostępnienia informacji publicznej złamał, niżej podpisany jest przekonany, że świadomie, przepisy ustawy o dostępie do informacji publicznej. W świetle opinii biegłych jest to fakt stwierdzony czarno na białym potwierdzony autorytetem uznanych ekspertów z dziedziny kryptografii.

II. Jak to już zostało podniesione - w odpowiedzi na pozew nie ma mowy o zagrożeniu systemu informatycznego Zakładu jako ewentualnej konsekwencji udostępnienia specyfikacji protokołu KSI MAIL. Podobnie w treści pism składanych przez ZUS w toku postępowania także nie ma mowy o powyższej przesłance. Mowa jest natomiast o tajemnicy przedsiębiorstwa, w tym przypadku firmy Prokom Software S.A. jako przyczyny odmowy udostępnienia specyfikacji.

„Moduł KSI MAIL nie jest wyizolowaną aplikacją, ale stanowi jeden z elementów Kompleksowego Systemu Informatycznego zakładu Ubezpieczeń Społecznych. System ten, jak również jego elementy, są dedykowane wyłącznie dla ZUS. Z tego względu, zawarta w dniu 10 października 1997 roku umowa pomiędzy Zakładem a Prokom Software S.A. z siedzibą w Warszawie przy al. Jerozolimskich 65/79 o zaprojektowanie i wykonanie Kompleksowego Systemu Informatycznego dla ZUS oraz przekazania do eksploatacji oprogramowania użytkowego w ZUS – zawiera postanowienia, że Zakład zobowiązuje się zachować w tajemnicy wszelkie informacje związane z przekazaną technologią i rozwiązaniami zawartymi

W załączeniu do odpowiedzi na pozew złożony został wyciąg z tekstu jednolitego umowy o zaprojektowanie i wykonanie KSI dla ZUS.

Z redakcji §8 umowy zawartej między Zakładem Ubezpieczeń Społecznych a firmą Prokom Software S.A. wynika, że nie jest umową o przeniesienie autorskich praw majątkowych do oprogramowania ale umową licencyjną, upoważniającą Zakład do korzystania z systemy w ściśle określonym zakresie. Wynika z tego, że Zakład Ubezpieczeń Społecznych zawarł umowę o zaprojektowanie i wykonanie kompleksowego systemu informatycznego bez zagwarantowania sobie prawa do kodu źródłowego oprogramowania użytkowego systemu. Zgodnie z treścią przepisu par. 8 ust. 1 umowy wersje źródłowe oprogramowania zostają ZUS “przekazane” z chwilą przekazania systemu do eksploatacji. ZUS może je wykorzystywać tylko i wyłącznie dla własnych potrzeb i to tylko tych związanych z eksploatacją oprogramowania, jego rozwojem i zmianą i tylko w tym celu może je udostępniać osobom trzecim. (par. 8 ust. 2). Dodatkowo, dokonane przez ZUS zmian w kodzie źródłowym bez autoryzacji ze strony firmy “Prokom” oznaczać będzie, że firma ta zwolniona będzie z odpowiedzialności określonej w paragrafie 7 umowy.

Strona powodowa nie odmówi sobie pewnego komentarza to tak sformułowanych praw i obowiązków stron powyższej umowy, choć nie dotyczy to bezpośrednio żądania pozwu.. Biorąc jednak pod uwagę to, że roszczenie dotyczy istotnej kwestii publicznej – prawa obywatela do informacji nie od rzeczy jest wskazać na oczywistą asymetrię w prawach i obowiązkach stron umowy zawartej pomiędzy ZUS a firmą Prokom Software S.A.

Nie zagwarantowanie przez Zakład praw własności do kodów źródłowych oprogramowania użytkowego oznacza, iż prawo to przysługuje w firmie Prokom. Tylko ona zatem ma pełną swobodę w zakresie modyfikacji oprogramowania. Oznacza to pełne uzależnienie pozwanego ZUS od wykonawcy systemu w zakresie zmian, uzupełniania, rozbudowywania całego systemu, przetwarzającego dane milionów ubezpieczonych. Trudno zrozumieć dlaczego taka sytuacja w ogóle ma miejsce, trudno nie zadać publicznie pytania o kompetencje osób, które podpisały umowę tej treści. Można jednakże z dużą pewnością stwierdzić, iż sytuacji takiej można było uniknąć wtedy, kiedy sam proces wyboru projektodawcy i wykonawcy systemu, a także oferowanych przez niego rozwiązań byłby jawny, poprzedzony publiczną debatą i poddany społecznej kontroli. Chodzi w tym miejscu o przejrzystość i jawność w projektowaniu i realizacji publicznych projektów informatycznych.

Strona powodowa chciałaby podkreślić, że w niniejszym procesie nie chodzi tylko i wyłącznie o realizację prawa do informacji pojedynczego obywatela, choć oczywiście chodzi i także o to. Sergiusz Pawłowicz występując do ZUS z wnioskiem o udostępnienie informacji publicznej i popierając ten wniosek przed sądami administracyjnymi i powszechnymi działa także w szeroko rozumianym interesie publicznym. Wytoczenie powództwa w niniejszej sprawie jest niczym innym jak właśnie realizacją postulatu przejrzystości i jawności w postępowaniu instytucji publicznych w RP.

Niezależnie jednak od tego, w jakich okolicznościach i jakiej treści została zawarta umowa i jak w rzeczywistości niekorzystne byłyby dla ZUS jej postanowienia to zasadniczą kwestią postaje do rozstrzygnięcia to, czy treść załączonej umowy, a w szczególności załączony jej fragment, są wystarczającym uzasadnieniem do odmowy udzielania dostępu do specyfikacji technicznej protokołu KSI MAIL. W załączonym fragmencie umowy nie ma mowy o protokole komunikacyjnym a jedynie o wersjach lub kodach źródłowych.

Jednocześnie, zobowiązanie ZUS do zachowania w tajemnicy zakreślone zostało maksymalnie szeroko, na tyle szeroko, iż ma dotyczyć właściwie wszelkich technologii użytych do projektowania i wdrożenia systemu. “ZUS zobowiązuje się zachować w tajemnicy wszelkie informacje związane z przekazaną technologią i rozwiązaniami zawartymi w przekazanych kodach źródłowych”. W ocenie strony powodowej zakreślony w ten sposób katalog informacji podlegających tajemnicy oznacza, że obejmuje ona także technologie ogólnodostępne, będące także objęte prawami autorskimi osób trzecich. “Wszelkie technologie i rozwiązania” obejmują przykładowo protokół TCP/IP czy HTTP (SSL jest kryptograficzną “nakładką na protokół HTTP) czy protokoły poczty elektornicznej. Jest to zastrzeżenie tyleż nieskuteczne, co po prostu absurdalne. ZUS nie może zobowiązywać się do zachowania w tajemnicy, nie mniej, nie więcej niż większości zasobów światowego Internetu.

W ocenie strony powodowej już sam fakt określenia w taki sposób granic tajemnicy jest błędny w tym sensie, iż ni może po prostu zawierać wszystkich wykorzystanych technologii tylko ewentualnie te, które rzeczywiście stanowią tajemnicę przedsiębiorstwa Prokom Software SA. Wyrazić należy opinię, że odpowiednia klauzula winna być określona na tyle precyzyjnie, aby było wiadomo kiedy osoba trzecia narusza tajemnice przedsiębiorstwa, a kiedy porusza się w obszarze tajemnica nieobjętym np. należącym do domeny publicznej.

Powyższa okoliczność sama w sobie winna przesądzać o tym, że treść par. 8 umowy nie może stanowić przesłanki odmowy dostępu do specyfikacji protokołu KSI MAIL. Jest jeszcze jednak druga okoliczność – protokół KSI MAIL to pakiet obejmujący powszechnie znane, nie objęte prawami autorskimi firmy Prokom narzędzia programistyczne i kryptograficzne. Do rozstrzygnięcia jest zatem doniosła kwestia: czy może stanowić odmowę udostępnienia informacji publicznej przesłanka w postaci tajemnicy przedsiębiorstwa w sytuacji, w której tajemnicą mają być objęte technologie jawne, powszechnie dostępne i nie objęte prawami autorskimi czy patentowymi przedsiębiorcy? W ocenie strony powodowej nie - sam fakt, iż mamy do czynienia z technologiami udostępnionymi publicznie przesądza, że nie możemy mówić o jakiejkolwiek tajemnicy, a szczególnie tajemnicy przedsiębiorcy.

Zadaniem biegłego było między innymi udzielenie odpowiedzi na pytanie czy narzędzia użyte do budowy protokołu są powszechnie dostępne, względnie czy ich budowa jest ogólnie znana.

Z informacji dostępnych biegłemu wynika z prawdopodobieństwem graniczącym z pewnością, że “protokół KSI MAIL oparty jest na infrastrukturze podpisu elektronicznego, a jego realizacja techniczna oparta jest na pakiecie programów noszących nazwę SSL/OPEN SSL.” “Wydaje się to wskazywać, z prawdopodobieństwem graniczącym z pewnością, że mamy do czynienia z tym samym algorytmem. W związku z tym, dalszy opis i analiza pakietu KSI MAIL oparte są na publicznie dostępnej specyfikacji, kodzie źródłowym i obszernej analizie pakietu SSL/OPEN SSL”.

Należy podkreślić, że strona powoda od samego początku procesu wskazywała na to, że protokół KSI MAIL oparty jest na pakiecie SSL/OPEN SSL. Jest to najlepszym dowodem na to, że budowa protokołu jest publicznie znana – nie może zatem stanowić tajemnicy kogokolwiek – w tym także tajemnicy przedsiębiorcy – firmy Prokom Software S.A. Nie stanowi także tajemnicy rodzaj algorytmów kryptograficznych użytych w protokole. Są nimi: algorytm symetryczny - algorytm 3DES, algorytm asymetryczny – algorytm RSA. Oba algorytmy są publicznie dostępne i dokładnie opisane. To samo dotyczy tzw. funkcji skrótu – SHA1. W tej sytuacji nie jest wiadomo, jakie to elementy protokołu miałyby stanowić tajemnicę firmy Prokom skoro protokół KSI MAIL to właśnie wskazane powyżej narzędzia programistyczne i kryptograficzne. Opinia biegłego nie była w żadnym stopniu kwestionowana przez stronę pozwaną – wnosić zatem należy, że protokół nie zwiera innych elementów, które mogłyby stanowić tajemnicę firmy Prokom.

Przeciwnie – elementy pakietu OpenSSL „są to narzędzia w sposób ewidentny publiczne. Pakiet programów SSL/OPEN SSL jest publicznie dostępny w postaci kodu źródłowego oraz różnych implementacji binarnych poprzez strony internetowe (…) jest też opisany w licznych publikacjach i w podręcznikach poświęconych ochronie informacji i kryptografii”. Wydaje się, że nie można tego dobitniej powiedzieć. Elementy protokołu KSI MAIL nie są żadną tajemnicą. Ponadto, „W świetle powyższych uwag nic nie wskazuje na szczególną oryginalność unikalność czy nowatorstwo rozwiązań informatycznych czy kryptologicznych”. Ten ostatni wniosek z opinii biegłego nie pozostawia także żadnych wątpliwości co do ewentualnych praw autorskich firmy Prokom do co do sposobu, w jaki narzędzia informatyczne i kryptologiczne zostały wykorzystane przy budowie KSI MAIL.

III. Dla strony powodowej jest oczywiste, że działania pozwanego ZUS zmierzają do przedłużenia postępowania tak, aby ewentualne, niekorzystne dla niego rozstrzygnięcie nie mogło zapaść, przed lipcem 2007 r. kiedy to nałożony przez ustawodawcę obowiązek udostępnienia specyfikacji ma uczynić niniejszy proces bezprzedmiotowym.

Można w tym miejscu postawić pytanie o sens prowadzenia procesu w sytuacji, w której ustawodawca i tak nałożył na pozwany ZUS obowiązek udostępnienia specyfikacji. Strona powodowa jest przekonana, że uzyskanie rozstrzygnięcia w niniejszej sprawie jest konieczne z wielu różnych, ale zawsze istotnych powodów.

Po pierwsze dlatego, że ustalony na lipiec 2007 r. termin udostępnienia przez Zakład informacji można zawsze przedłużyć. Po drugie dlatego, że pozew wniesiony został przed blisko trzema laty i nie ma doprawdy żadnych powodów, dla których miałby się on skończyć inaczej niż merytorycznym rozstrzygnięciem. Należy także stwierdzić, iż sprawa niniejsza ma także swój szerszy wymiar – wykraczający daleko poza obszar zakreślony przez samo żądanie pozwu. W niniejszej sprawie chodzi także i o coś więcej niż o uzyskanie dostępu do informacji publicznej – specyfikacji technicznej protokołu KSI MAIL. Chodzi w niej także o sposób w jaki instytucje państwowe wykonują postanowienia ustawy o dostępie do informacji publicznej.

W ocenie strony powodowej sposób w jaki został potraktowany wniosek Sergiusza Pawłowicza o udostępnienie informacji publicznej świadczy o tym, jak bardzo iluzoryczne jest w rzeczywistości prawo obywatela do uzyskania informacji publicznej. Okazuje się bowiem, że mimo zapisów Konstytucji, mimo postanowień ustawy o dostępie do informacji publicznej, mimo orzecznictwa sądów powszechnych i administracyjnych instytucja państwowa może skutecznie przedłużyć i utrudnić postępowanie o udostępnienie informacji, w oparci o wątpliwe lub wprost nieprawdziwe przesłanki.

Dzieje się to w sytuacji, w której grupa niezależnych programistów, z własnej inicjatywy, podjęła projekt zaprojektowania i wykonania oprogramowania będącego odpowiednikiem programu „Płatnik” także na inne niż Windows systemy operacyjne. Ta obywatelska inicjatywa miała na celu zmianę zupełnie niebywałej sytuacji, w której przepisy prawa skonstruowano w ten sposób, iż warunkiem wykonania, nałożonego na przedsiębiorcę ustawowego obowiązku jest zakupienie konkretnie wskazanego produktu ściśle określonego producenta – systemu operacyjnego Windows firmy Microsoft.
Stronie powodowej nie jest znany bardziej szokujący przykład pogwałcenia zasady neutralności technologicznej prawa niż program „Płatnik”. W tej sytuacji wydawać by się mogło, że w interesie samego ZUS jest zmiana tak kłopotliwej sytuacji, iż pozwany Zakład zrobi wszystko aby dostosować oprogramowanie tak, aby można je było wykorzystać także na innych niż Windows platformach programistycznych.

Okazało się jednak, że pozwany ZUS nie tylko nie podjął w tym kierunku żadnych działań ale jeszcze dodatkowo zrobił wszystko aby niezależną, obywatelską inicjatywę obywateli rozmyć w proceduralnych sporach w taki sposób aby rzecz całą przedłużyć w nieskończoność. Pamiętajmy w tym miejscu o tym, że mamy do czynienia z dziedziną tak specyficzną jak informatyka – postęp technologiczny liczy się w niej w tygodniach a nie latach. Skuteczne przedłużanie postępowań, której przedmiotem są technologie informatyczne o lata, jak to ma miejsce w przypadku programu Janosik, jest równoznaczne ze skutecznym uchyleniem się od obowiązku.

Wyrazić w tym miejscu należy nadzieje, że rozstrzygnięcie niezawisłego sądu w sprawie z powództwa Sergiusza Pawłowicza będzie czytelnym sygnałem, że tego typu praktyki publicznych instytucji nie będą więcej tolerowane. Nie będzie już tolerowane bezpodstawne uniemożliwianie obywatelowi dostępu do informacji publicznej, a tym bardziej uniemożliwianie mu takiego dostępu w oparciu o nieprawdziwe przesłanki. W sprawie przeciwko pozwanemu ZUS, to że były to nieprawdziwe przesłanki wynika z treści opinii biegłego, której wnioski nie pozostawiają żadnych wątpliwości – „ani argumenty ZUS ani też powszechnie przyjęte dobre praktyki ochrony informacji nie dostarczają przekonywujących argumentów za ukrywaniem specyfikacji protokołu będącego przedmiotem pozwu.”

W tym stanie rzeczy pozew należy uznać za zasadny.

Jak wspomniałem. Czekam teraz na udostępnienie treści wyroku, zaś relacje z dzisiejszego ogłoszenia przeczytać będzie można jutro w Rzeczpospolitej. Tam równiez więcej komentarzy i wypowiedzi na ten temat.

Czytaj również:

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

wyrok

Już jestem Vagla ;-)

W głosie do protokołu pozwoliłem sobie na pewne osobiste życzenie “Wyrazić w tym miejscu należy nadzieje, że rozstrzygnięcie niezawisłego sądu w sprawie z powództwa Sergiusza Pawłowicza będzie czytelnym sygnałem, że tego typu praktyki publicznych instytucji nie będą więcej tolerowane”.

Po dzisiejszym orzeczeniu widać, że rzeczywiście tak już będzie – instytucje takie jak ZUS nie mogą już być pewne tego, że cokolwiek nie zrobią to i tak wszystko pójdzie po ich myśli. Niezależnie od tego jaki będzie ostateczny rezultat sprawy rzeczywiście możemy mówić o czytelnym sygnale ze strony wymiaru sprawiedliwości: ustawy w tym kraju mają być przestrzegane i to przestrzegane nie tylko przez obywateli, jak to miało miejsce dotychczas, ale także przez “nietykalne” instytucje typu ZUS. Do dzisiaj, w razie potrzeby to już raczej zmieniano ustawy zgodnie z interesami ZUS, niż zawracano sobie głowy przestrzeganiem jakiś tam przepisów. Dlatego z pewną satysfakcją, dzięki orzeczeniu Sądu Rejonowego dla Warszawy – Mokotowa, można odnotować całkowitą zmianę sytuacji. Od dzisiaj Zakład Ubezpieczeń Społecznych powinien zacząć oswajać się z myślą, że także i on zobowiązany jest do przestrzegania ustaw.

Artur Kmieciak

Ja bym był ostrożny

VaGla's picture

Istotnie - wyrok sądu powszechnego to ważny krok na drodze do osiągnięcia zmiany paradygmatu (ostatnio bardzo lubię to słowo) w zakresie "neutralności technologicznej"i dostępu do informacji publicznej. Jednak historia pokazuje, że dopóki wyrok nie jest prawomocny, to wszystko się może zdarzyć, a poza tym - nawet ujawnienie specyfikacji protokołu komunikacyjnego (nie: danych gromadzonych przez Zakład, bo już gdzieś czytałem komentarz, w którym ktoś wyraził obawę, że po ujawnieniu ktoś będzie grzebał w jego danych emerytalnych) nie zmienia sytuacji. Chodzi o to, by sposób komunikowania się urzędu z obywatelem był po prostu jawny, stale i nie na wniosek. To tylko jeden z elementów układanki. Drugi zaś to takie ustalanie zasad na przyszłość, by każdy obywatel (lub podmiot mający w tym interes prawny, chociażby działał w interesie społecznym) mógł skutecznie domagać się od państwa ujawnienia technicznych informacji pozwalających na kontakt z administracją. Chodzi zatem o skuteczny środek dochodzenia roszczenia o ujawnienie informacji (w tym – technicznej) oraz o skuteczny środek domagania się poszanowania zasady neutralności technologicznej (przywrócenia stanu neutralności gdyby został zachwiany – co obecnie jest stanem permanentnym)... W swoim komentarzu, który pojawi się jutro w Rzepie (najprawdopodobniej) napisałem, że "Nie chciałbym, by ktoś odniósł wrażenie, że w tej sprawie chodzi o jakieś osobiste sympatie do ZUS, lub do przedsiębiorstwa będącego dostawcą informatycznego rozwiązania. Proces dotyczył dostępu do informacji publicznej, tu chodzi o zasady". Prawdopodobnie to zdanie wypadło ze względu na ograniczoną ilość miejsca w papierze. Chciałbym wierzyć, że nie tylko ja myślę, że w tej całej "zabawie" ZUS nie jest wcale po drugiej stronie sporu.
--
[VaGla] Vigilant Android Generated for Logical Assassination

ja też

To oczywiste, że jeden wyrok wiosny nie czyni. Do “zmiany paradygmatu” jeszcze daleka droga. Naprawdę nie jestem na tyle naiwny aby sądzić, że po tym wyroku wszystko się odmieni jak za dotknięciem czarodziejskiej różki. Będę się jednak upierał, że mamy do czynienia z pewnym przełomem. Wystarczy sobie przypomnieć jak do sprawy podchodziły sądy administracyjne. Zakończyć pod byle, procesowym, pretekstem. Bez konieczności merytorycznego jej rozstrzygnięcia. Teraz takie zapadło i to niekorzystne dla ZUS. To właśnie jest ta jakościowa zmiana – dotychczasowe orzeczenia zapadłe w postępowaniu administracyjnym mogły tylko utwierdzać ZUS w przekonaniu, że warto się nie przejmować jakimiś tam Janosikami...

wrażenia

"Nie chciałbym, by ktoś odniósł wrażenie, że w tej sprawie chodzi o jakieś osobiste sympatie do ZUS, lub do przedsiębiorstwa będącego dostawcą informatycznego rozwiązania. Proces dotyczył dostępu do informacji publicznej, tu chodzi o zasady".
Oczywiście, że chodziło w tym postępowaniu o zasady, tyle tylko, że zostały one złamane zarówno przez ZUS jak i przez “przedsiębiorstwo będące dostawcą informatycznego rozwiązania” czyli Prokom Software S.A. W przeciwieństwie Piotrze do ciebie u mnie chodzi o jak najbardziej osobiste sympatie do wyżej wymienionych, a mówiąc ściślej chodzi o osobiste antypatie. Sposób w jaki zostaliśmy (liczbę mnogą usprawiedliwia osobiste zaangażowanie pełnomocnika w sprawę jego klienta) potraktowani przez blisko pięć lat różnych postępowań jest wystarczającym uzasadnieniem dla, mówiąc oględnie, chłodnego stosunku do obu szacownych instytucji. Nie widzę zatem powodu aby je w jakimkolwiek sposób usprawiedliwiać i udawać, że nic się tak naprawdę nie stało. Otóż, stało się – postępowanie przed niezawisłym sądem wykazało, że przesłanki odmowy udostępnienia informacji nie były prawdziwe – szczególnie ta w postaci rzekomego zagrożenia bezpieczeństwa całego systemu. Co z tym pasztetem zrobić? Jeszcze nie wiadomo – przynajmniej przed prawomocnym zakończeniem postępowania. Na dzisiaj sprawa wygląda tak, że pozwany ZUS, delikatnie mówiąc, rozmijał się z prawdą.

"Chciałbym wierzyć, że nie tylko ja myślę, że w tej całej "zabawie" ZUS nie jest wcale po drugiej stronie sporu."

A niby Piotrze po której? Przez blisko pięć lat był bezkompromisowym przeciwnikiem a jego stanowisko nie uległo zmianie nawet o milimetr. O czym zatem piszesz, pisząc że w tej całej "zabawie" ZUS nie jest po drugiej stronie sporu?

ZUS działa tak, jak cała administracja publiczna

VaGla's picture

ZUS działa tak, jak cała administracja publiczna. W tym sensie nie jest po drugiej stronie i przynajmniej jeśli chodzi o mnie (a pamiętaj Drogi Arturze, że jako członek zarządu ISOC Polska wspierałem uruchomienie postępowania administracyjnego toczącego się aż do NSA równolegle z Waszą sprawą), wnioski i pozwy są jedynie środkiem do osiągnięcia pewnego celu, ale tym celem nie jest tylko udostępnienie specyfikacji KSI MAIL. Nawet jeśli "zmusi się" sądownie do tego, by pozwany Zakład udostępnił specyfikację, to nie będzie to osiągnięciem celu, o który chodzić powinno. Chodzi - przynajmniej w moim odczuciu - o zmianę podejścia administracji publicznej do posiadanych przez siebie informacji, które mają służyć kontaktom obywatela z państwem. ZUS nie robi niczego innego, niż setki innych urzędów, które również nie udostępniłyby nam tego typu informacji, których się domagałeś we wniosku i potem w pozwie. Dlatego napisałem, że w sprawie nie chodzi o ZUS, a przynajmniej mnie nie chodzi o ZUS, kiedy popieram uzyskanie informacji na temat działania programu, którym określone osoby mają obowiązek posługiwania się w obowiązkowych kontaktach z Zakładem. Tak naprawdę chodzi tu również o SIMIK i o to, że wnioski można składać jedynie za pomocą generatora wniosków, który nie jest interoperacyjny (neutralność technologiczna to postulat do prawa i działań administracji, interoperacyjność programów czy systemó jest jednym z warunków uzyskania neutralności technologicznej państwa). Chodzi o dokumenty udostępniane na stronach urzędów w formatach, których odczytanie wymaga posiadania jednego z istniejących na rynku, komercyjnych produktów. W tym sensie to nie ZUS winien być celem, chociaż pozew przeciwko ZUS i uzyskane orzeczenie wskazywać może opinii publicznej przykład działania administracji publicznej, który warto (należy) zmienić.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Co zrobić aby cała administracja nie działała tak jak ZUS.

Jak wiesz Piotrze właściwie to trudno nam się spierać bo praktycznie we wszystkim co napisałeś się z Tobą zgadzam. Nie ma miedzy nami sporu także i co do tego, że proces z ZUS był raczej środkiem do realizacji celów, o których piszesz niż celem samym w sobie. Dobrze wszyscy wiemy, że nawet w przypadku utrzymania wyroku w mocy jego praktyczne znaczenie będzie dosyć ograniczone. Co innego jego “precedensowy” charakter - w razie utrzymania wyroku przez sąd wyższej instancji jego wpływ na praktykę instytucji publicznych może być znaczny. Ale wcale, jak uczy doświadczenie, nie musi. Dlatego trzeba się zastanowić jak to orzeczenie wykorzystać dla osiągnięcia celów, o których piszesz.

Relacja w Rzepie

VaGla's picture

Jak wspomniałem, w dzisiejszej Rzeczpospolitej znajduje się relacja z ogłoszenia wyroku: ZUS ma umożliwić działanie Janosikowi. Ważne fragmenty to: "Sąd nakazuje ZUS udostępnić specyfikację techniczną protokołu KSI MAIL, która stanowi informację publiczną - ogłosił asesor Adam Malinowski". Odnośnie tajemnicy przedsiębiorstwa: "...Zgodnie z opinią biegłego protokół opiera się bowiem na technologii publicznie dostępnej dla każdego. - Ponieważ jest to narzędzie publicznie dostępne i szeroko opisane w literaturze, nie może stanowić tajemnicy przedsiębiorstwa..." Czekamy na pisemne uzasadnienie wyroku.

No i mój komentarz, który jest przy tekście:

Sąd potwierdził prawo obywatela do uzyskania informacji na temat działania infrastruktury technicznej państwa. Sądy nie uczestniczą w procesie projektowania technicznych i legislacyjnych zrębów społeczeństwa informacyjnego, jednak właśnie dlatego mogą być strażnikiem przestrzegania zasad demokratycznego państwa prawa. W tej sprawie nie chodzi o osobisty stosunek do ZUS lub do dostawcy rozwiązania. Tu chodzi o zasady. Sądzę, że z czasem doczekamy się też pierwszych wyroków Trybunału Konstytucyjnego, który wskazując na dostęp do informacji publicznej, równość obywateli wobec prawa i zakaz dyskryminacji, da sygnał, że uzależnianie się od konkretnych produktów informatycznych nie jest dopuszczalne. Ważne są przejrzystość relacji publiczno-prywatnych oraz kierowanie się zasadą neutralności technologicznej państwa.

--
[VaGla] Vigilant Android Generated for Logical Assassination

Dzięki

Dziękuję wam, moi drodzy, za pomoc - to nasz wspólny sukces :)

Ale to nie koniec

VaGla's picture

Z orzeczenia sądu wynika dla mnie niestety, że gdyby protokół komunikacyjny nie był "powszechnie znany", to może ZUS nie musiałby go udostępniać, bo można by się skutecznie zasłonić tajemnicą przedsiębiorstwa. Sergiusz mógłby napisać coś więcej na temat tego, że domaga się znanego w sumie protokołu, a może jest tak, że zasada jego działania wymaga wiedzy na temat konkretnego wdrożenia. A jeśli to oznacza, że jednak sposób konkretnego wdrożenia nie jest powszechnie znana, to może sąd drugiej instancji uznać, że w rzeczywistości mamy tu do czynienia z tajemnicą przedsiębiorstwa.

Zgodnie z art. 11 ust. 4 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji: „przez tajemnicę przedsiębiorstwa rozumie się nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności”. Przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeżeli zagraża lub narusza interes przedsiębiorcy jest czynem nieuczciwej konkurencji. Z kolei o tajemnicy handlowej mówi porozumienie TRIPS (Porozumienie w sprawie handlowych aspektów praw własności intelektualnej), które w art. 39 (Ochrona informacji nie ujawnionej) stwierdza, mniej więcej, że informacja może być zakwalifikowana jako tajemnica handlowa, jeżeli jest poufna, ma wartość handlową jeśli jest tajna, a jej właściciel podjął stosowne kroki, by nie została ujawniona. Porozumienie TRIPS wiąże Polskę od 2000 roku.

Tajemnice należą do kategorii "własności intelektualnej" i na przykładzie sporu o specyfikację KSI MAIL widać wyraźnie (co już na kilku konferencjach starałem się pokazać), że konflikt pomiędzy informacją publiczną o prawami własności intelektualnej będzie narastał. Informatyka, budowanie infrastruktury technicznej (teleinformatycznej) państwa, to są te dziedziny, które dosć łatwo oddać całkowitej prywatnej kontroli (prywatyzacja sfery publicznej w dziedzinie teleinformatyki). Wydaje mi się zatem, że jednym z istotnych dyskusji jest właśnie mowa o standardach (otwartych) komunikacji na linii obywatel-państwo-obywatel.

--
[VaGla] Vigilant Android Generated for Logical Assassination

Tajemnica przedsiębiorstwa

kravietz's picture

Po to m.in. jest ustawa o informatyzacji i rozporządzenie w spr. minimalnych wymagań, żeby uniknąć sytuacji że wykonawca wpycha urzędowi rozwiązanie proprietary a następnie doi go z tytułu posiadania tajemnej wiedzy - tak jak o tym mówił Piotr Piętak w tym wykładzie z MP3.

W przypadku Programu Płatnika jak wiadomo nieoficjalnie pobudki odmowy były całkowicie pozatechniczne. Logika podpowiada, że jeśli ktoś rozwija produkt X za pieniądze a na rynku pojawia się produkt o identycznej funkcjonalności dostępny za darmo, to ten kto płaci za produkt X może zadać sobie pytanie o celowość płacenia.

Wydaje mi się, że sprawa Płatnika została moralnie wygrana, ale praktycznie niczego nie zmieni. ZUS przegrał ją praktycznie z wejściem ustawy o informatyzacji, gwarantując sobie jednak dostatecznie drugi okres przejściowy do 2007 roku żeby sprawę załatwić w sposób satysfakcjonujący wszystkie strony.

Kompromitacją polskiego wymiaru sprawiedliwości jest to, że danie odpowiedzi na zapytanie Sergiusza zajęło cztery lata - ale przecież kompromitowały go już znacznie gorsze "przeoczenia", "zapomnienia" i "zagubienia akt". No i co z tego?

generalnie to..

jest tak.. kilkanascie lat temu prokom "zawlaszczyl" wiekszosc instytucji rzadowych. Wejscie z jakakolwiek powazniejsza oferta handlowa do np. ministerstw bylo niemozliwe dla innych firm. Przetargi byly pisane wylacznie pod prokom. Informatyzacja zusu trwajaca dobre kilka lat [moze kilkanascie] byla chyba najbardziej przeplaconym projektem w polsce. Z tego co wiem to i tak jest zrobiona zle, niekompletnie i niezgodnie z prawem. Bo niby czemu wspomniane ks mail dziala tylko pod windows czyli [o ile ma byc to program dla kazdego platnika to dlaczego wylacznie windows??
W sumie trudno napisac cos wiecej, bo bedzie sie to ocieralo o pomowienia, choc liste osob bedacych na zołdzie prokomu gdzies chyba jeszcze mam.:)
Jak dla mnie prokom byl zawsze synonimem korupcji i zle rozumianej informatyzacji. zus... no coz.. synekura rzadowa, rzadzi tam ten kto ma laski w rzadzie. podobnie jak pzu, kghm miedz itp. Niby normalne, aczkolwiek nie powinno tak byc. Bo wraz ze zmiana wladzy, zmienia sie tzw. "wizja informatyzacji" . To z reguly zbiegalo sie w czasie z ogloszonym przetargami.
Przesledzenie historii przetargow w zusie to hstoria ciekawa i niezmiernie interesujaca.
zwazywaszy ,ze caly ten proceder rozgrywa sie za publiczne pieniadze. Straty zas ida w miliardy zlotych i to z kieszeni kazdego,ktory placi zus.
ksiazke idzie napisac na ten temat.. albo kilka tomow akt ozkarzen.. :)
ps.
nigdy nie zaplacilem zlotowki zusu.

Aiki:

Aiki:
Nie wiem czy możliwe jest stworzenie Płatnika na wszystkie istniejące systemy operacyjne - przy projektowaniu systemu trzeba jasno zaznaczyć jaki jest cel, a celem nie może być "każdy system operacyjny" bo takie coś nie istnieje, dlatego uważam że nie można wymagać od dostawcy żeby wykonał czynność niemożliwą do określenia. Co innego domaganie się jawności specyfikacji a co innego wieszanie psów na Prokom że określił w jakiś sposób ramy projektu (czego chyba nie można powiedzieć o ZUS). Z drugiej strony ZUS nie powinien móc w nieskończoność modyfikować założeń (co generuje dopiero koszty). Jeżeli ZUS wygenerował niemożliwe założenia to nikt nie powienien się spodziewać możliwego zakończenia.

I jak to zrobiłeś że nie zapłaciłeś złotówki dla ZUS ? to chyba Ciebie ten problem wcale nie dotyczy ;)

Web services

kravietz's picture

Rozsądnie wygląda e-Poltax stworzony dla MinFin, a zwłaszcza podział na trzy części:

1) web portal - dla każdego systemu z Javą
2) aplikacja stand-alone - Windows
3) interfejs web services - dla każdej aplikacji F-K

Moim zdaniem z punktów 1 i 2 można spokojnie zrezygnować. Pieniądze wydane na ich realizację zostałyby wydane 10x racjonalniej i oszczędniej, gdyby to firmy prywatne wypełniły lukę rynkową tworząc aplikacje korzystające z interfejsu webowego.

W przypadku ZUS to nie jest takie proste, bo system powstawał w 1999 roku kiedy koncepcja rozwijania aplikacji była radykalnie odmienna, a web services raczkowały. Ale w 2007 roku to ma być zaimplementowanie ponownie.

no to jest bzdura..

bo web services [jak zwal tak zwal] w tym przypadku technologia klient-server byla znana grubo przed 1999. Sam sprzedawalem tego typu rozwiazania. Wiec bez dyrdymal mi tu.

Tu gdzie mieszkam informatyzjacja kraju [%gosp domowych z dostepem do netu] to 5% i z tego wielka awantura w parlamencie, ze tylko 5.. no coz.. ale.. ale jest takie, ze podstawowe oplaty czyli ubezpieczenie, media, nct + dostep do wlasnego konta jest na kazdym rogu ulicy [tam z reguly jest bank]. I nie ma problemu.
Problem zusu to nie informatyzacja, bo to proste jak banan, ale import tysiecy danych z segregatorow. Czyli droga papier -> dysk twardy. I tu chodzi o kilkadziesiat milionow ludzi.
Kolejny problem to ukrycie przeplywu pieniedzy, ktore sa notorycznie wyprowadzane z zusu do latania dziur w finansach panstwa.
dla poprawy nastroju to w normalnym w miare [bo tu nie tak do konca], to podatek jest odprowadzany z automatu i [uwaga] po 3 miesiacach zwracany. czyli nie ginie, nikt go nie zawlaszcza itp.

nie napisalem, ze "wszystkie

nie napisalem, ze "wszystkie systemy". Aczkolwiek gdyby to bylo np. na puppy linux byloby fajnie :)
Faworyzowanie microsoftu to inna bajka i swietny temat dla komisji europejskiej, ktora co rusz wlepa "fachowcom" z redmond milionowe kary.
Psow nie wieszam - napisalem z czym mi sie prokom kojarzy. to to inna bajka.
zus generowal przez lata co rusz to inne specyfikacje przetargowe o czym pisalem powyzej. zmienialy sie one zaleznosci od tego czym prokom dysponowal. Nie powinien ale mogl. chocby dlatego, ze bodajze pierwsze trzy podjescia byly oprotestowane przez konkurencje.. hm.. chyba 2SI i cos jeszcze..
a jak to zrobilem, ze nie zaplacilem.. no coz.. moja slodka tajemnica. Malo tego.. zus placil mi regularnie pensje gdy sie zwolnilem i poszedlem na "chorobowe" przez 6 miesiecy.

faktem jest, ze problem mnie nie dotyczy i nie dotyczyl nigdy jak klienta zusu.. aczkolwiek mam jak podejrzewam wiekszosc ludzi rodzicow, ktorzy na interesie z zusem wyszli gorzej niz przyslowowiowy zablocki na mydle. Za 30-40 lat pracy dostawac kilkaset i to co jest skandalem opodatkowanej emerytury. Nikomu tego nie zycze. Bo to czysty bandytyzm, poruta, wstyd i radiomaryja.
wiem, ze to inny temat, inna bajka ale poki ten zabytek peerelu nadal istnieje pojecie prawa i ekonomii w pl bedzie mocno watpliwe. by nie powiedziec zadne.
dla zainteresowanych 40 lat x [srednia pensja - przyjmijmy 51000 rocznie], od tego odjac polowe [to bedzie tyle ile sie zapalacilo zusu przez te 40 lat. do tego mozna dodac kilka procent [nie wiem ile obecnie banki licza sobie w pl]. wychodzi na to, ze generalnie czlowiek po 40 latach pracy powinien dostawac o wiele wiecej niz kilkaset pln i do tego bez podatku, bo niby z jakiej beczki?
ale to inna bajka z firma krauzego mam niewyrownane rachunki. glownie za blokowanie przetargow.

Dyskusja po wyroku

VaGla's picture

Pomyślałem, że może kogoś zainteresować informacja na temat doniesień powołujących się na powyższą notatkę na temat rozstrzygnięcia sądu w sprawie specyfikacji KSI MAIL i ZUS. W niniejszym serwisie udało mi się zablokować już kilka komentarzy, w których autorzy starali się w dość emocjonalny sposób wyrazić to, co myślą o sprawie. Jeśli ktoś chce komentować na bardziej liberalnych forach - zawsze może znaleźć coś dla siebie. Ten serwis poświęcony jest prawnym aspektom społeczeństwa informacyjnego, by komentarz się tu pojawił powinien być napisany językiem powszechnie akceptowalnym w kulturalnej wymianie zdań. Poniżej niektóre refleksje:

  • Dziennik Internautów, ZUS przegrał z Janosikiem: "...Niezwykłe wydaje się być w tej sprawie to, że dojście do takiego wniosku zajęło ponad 4 lata. ZUS może się jeszcze odwoływać od wyroku."
  • LinuxNews, Punkt dla Sergiusza!: "...Nie chodzi przecież o udowodnienie kto ma rację, ani nawet o ujawnienie specyfikacji (bo Pawłowi Hikiertowi udało się już ją nawet samodzielnie odtworzyć!), tylko o zmianę urzędniczej mentalności..."
  • Computerworld, Sąd nakazał ZUS ujawnienie kodu: "...Zaciętość ZUS prowokowała różne spekulacje - między innymi, że system jest tak dziurawy, że "wpuszczenie" do niego zewnętrznych implementacji spowodowałoby jego załamanie..."
  • Gazeta.pl, Młodzi informatycy napisali lepszego "Płatnika": "..."Rzeczpospolita" opisuje zwycięstwo grupy komputerowych pasjonatów nad Zakładem Ubezpieczeń Społecznych..." (tu toczy się też dyskusja na forum, aktualnie 73 komentarze).
  • Dobreprogramy.pl, Specyfikacja Płatnika będzie otwarta!: "...Gdyby jednak wyrok został podtrzymany, być może Janosik i system Linux już niedługo staną się oficjalną i zatwierdzoną platformą do komunikacji z ZUSem, zaraz obok Płatnika pracującego pod Windows".
  • Linux.pl, Specyfikacja Płatnika to informacja publiczna - orzekł sąd.
  • Jarek Lipszyc w swoim blogu, Maszyna do przerzucania z pustego w próżne: "...Państwo musi opierać się na otwartych, w pełni jawnych rozwiązaniach.To dlatego tak ważne jest stosowanie otwartych standardów - nie obarczonych patentami, zaakceptowanych przez międzynarodowe organizacje, dostępnych bez opłat dla każdego obywatela. Tego wymaga po prostu racja stanu...."
  • Loocos, ZUS musi udostępnić specyfikację KSI MAIL: "...ZUS może się odwołać od wyroku Sądu, natomiast ZUS najprawdopodobniej będzie musiał ujawnić specyfikację KSI MAIL, gdyż od przyszłego roku Ustawa o informatyzacji nakłada na ZUS obowiązek otwarcia interfejsu systemu."

Komentarze dotyczące wyroku można spotkać również w dyskusji grup Usenetu, na forach dyskusyjnych, w blogach, etc...

--
[VaGla] Vigilant Android Generated for Logical Assassination

Janosik czy inny program o takim przeznaczeniu...

Większość komentarzy jest zasadna, ale jest mały drobiazg...
Aplikacja jest produktem, a jako taka ma prawo być chroniona różnymi licencjami. To prawo każdego autora, chyba że ustanowiono w umowie inaczej.
Problem tkwi w czym innym...
To zamawiający jako Instytucja Państwowa, ma obowiązek wymóc na wykonawcy wykonanie produktu w formie OpenSource... Jeśli wykonawcy to nie pasuje, to problem wykonawcy. W sumie, ktoś schyli się po kasę choćby była tylko jednorazowa.
Tu widać jak na dłoni, że do decyzji kontraktowych nie dopuszcza się informatyków, a jeśli już, to takich co nie utrudniają podpisania intratnego kontraktu, zadawalającego personalnie reprezentantów obydwu stron. Kontraktu finansowanego z budżetu państwa tudzież ze środków unijnych, bo i takie projekty są wdrażane w polsce.

Reasumując... ZUS powinien mieć nakazane aby wprowadzić inny protokół niż KSI MAIL, który byłby protokołem opartym o otwarty kod. Co do KSI MAIL... Jeśli ZUS chciałby go utrzymywac dalej, to nie widze problemu... Może go sobie użytkować, ale opłacając ze środków własnych każdą jego modyfikację. W sumie pensje dyrektorów i pracowników są na tyle duże, że byloby ich stać na opłacanie unikatowej technologii równoległej do technologii finansowanej z budżetu państwa. Tylko, że OpenSource jest za Free i o takie koszty budżetu państwa chodzi....

A tak na marginesie... ZUS to nic innego jak Bank !!! Dlaczego zatem jakoś nikt nie widzi, że można go wyposażyć w oprogramowanie bankowości elektronicznej i płatnikom spadnie problem z głowy. Kwoty składek na pewno system bankowy pokaże po odpowiednim ich zaksięgowaniu na kontach ubezpieczonych.... A jakiś tam malutki programik Statystyczno-Sprawozdawaczy na potrzeby ZUS, to ZUS może sobie sam prokurować, jak każda inna jednostka publiczna. Mają do dyspozycji OpenOffice, MS Office, Bazy SQL'owe i cały szereg narzędzi programistycznych. Tylko trochę chęci...

Pozdrawiam.

podatnicy zmuszeni do wydania 291375000zł

Tak chciałbym ad hoc wtrącić.

832500 kopii Windows x 350zł (najtańsza wersja oem XPHE) daje nam pokaźną sumę 291375000zł dane ZUS To tylko taki mały dodatkowy koszt spadający na obywateli poza samym kontraktem ZUS-PROKOM. Porażające.

Pozwolę sobie zacytować z głowy "Nie ma róży bez ognia" Barei: "A najśmieszniejsze jest to, że on to robi zgodnie z prawem. No właśnie. I to jest właśnie najśmieszniejsze."

Ogólnie szacuneczek dla tej twórcy tej stronki i czytelników.
Pozdrawiam

PS miejmy nadzieję, że ten wyrok coś zmieni, choć świadomość potęgi marketingowej Microsoftu spędza sen z powiek... hehe

??? A jakby PE nie byl na

??? A jakby PE nie byl na platforme Windows, to owe 800tys uztykownikow nie kupiloby windowsa? Pobozne zyczenia.

Jak juz tak, to proponuje tez wyliczyc 832500 komputerow po srednio 2500zł (prosta konfiguracja+monitor+drukarka) to jest juz 2 081 250 000zł!!! To dopiero kwota wyciagnieta od platnika skladek!

chodzi o...

Chodzi tylko o to, że instytucja publiczna faworyzuje pojedynczą firmę Microsoft (nie wiadomo z jakich pobudek) i praktycznie zmusza do wykorzystytwania platformy PeCeta (notabene uwolnionej) tylko z oprogramowaniem tejże firmy, poprzez swoje decyzje (a raczej ustawowo) korzystne jedynie dla jednej firmy, co kłóci się z pojęciem neutralności technologicznej i ogólnie nie wkraczania państwa w regulowanie rynku. Sama platforma PC została uwolnina przez IBM już dawno, dawno temu, co pozwoliło rozwijać się bez problemu rynkowi komputerów osobistych. Co do kwoty zakupu komputerów- to też racja -- trzebaby się zastanowić, czy zakup komputera przez firmę tylko dlatego, iż jej zatrudnienie wzrosło do ponad 5ciu osób nie jest za dużą ingerencją państwa w działalność firmy. Co prawda tutaj brak monopolu, ale samo wymuszanie na przedsiębiorcy aby liczył coś na komputerze niźli na papierze jest absurdem...

Własność przedsiębiorcy

Jak kolwiek całym sercem u umysłem jestem za otwartością i neutralnością technologiczną oprogramowania używane w administracji publicznej, to pewien element mnie tu niepokoi.

Otóż sąd uznał (w skrócie), że nie może być tajemnicą przedsiębiorstwa protokół, który oparty jest o inne publiczne dostępne i znane protokoły. Przez to uznał, że ponieważ protokół KSI MAIL oparty jest o publicznie dostępny i znany SSL, przeto nie może być objęty tajemnicą przedsiębiorstwa PROKOM.

Jest to teza bardzo niebezpieczna. Wyjaśniam dla czego:
Otóż pod pewnymi względami informatyka bywa podobna do innych dziedzin inżynierskich. Tu chodzi o to, że niekiedy bardziej skomplikowane rozwiązania (tu: protokół KSI MAIL) buduje się składają w odpowiedni i umiejętny sposób pewne elementy prostsze niekiedy nawet standardowe (tu jak rozumiem protokół SSL). Całą sztuką i dzialalnością twórczą, która w określonych sytuacjach może i powinna podlegać ochronie jak każde dzieło, jest właśnie ta kompozycja, czyli dokonany przez autora wybór tych prostrzych (ew. standardowych) komponentów oraz sposób ich wspólnego wykrozystania dla stworzenia rozwiązania dające więcej usług lub usługi bardziej specjalizowane.

W przeciwnym wypadku konsekwentnie należałoby uznać, że jeżeli w konstrukcji jakiegoś skomplikowanego urządzenia (samochód, telewizor, ...) wykorzystano standrdowe elementy (nakrętki metryczne, standardowe tranzystory czy układy scalone) to szczegóły konstrukcji nie moga stanowić tajemnicy przedsiębiorcy, który skonstruował owo urządzenie.

Innymi słowy o ile sam SSL na pewno nie może stanowić tajemnicy przedsiębiorstwa, o tyle fakt, że KSI MAIL zbudowany jest w oparciu o SSL jak również dokładny sposób użycia tego protokołu w kontekście KSI MAIL, może stanowić tajemnice przedsiębiorstwa.

Inne rozumienie tej sytuacji doprowadziłoby do pozbawienia ochorny własności intelektrulanej każdego protokołu komunikacyjnego, który wykorzystuje w konkretny sposób inne protokoły (np. niższych warstw). Przy czym trzeba zwrócić uwagę, że w teleinformatyce jest sytuacją powszechną budowanie protokołów wyższych warstw w oparciu o protokoły niższych warstw.

Wydaje mi się że z zaprzeczeniem praw własności PROKOM do specyfikacji protokołu KSI MAIL wyłącznie na tej podstawie, że protokół ten oparty jest na stanardowym protokole SSL, w moim mniemaniu sąd się trochę pospieszył.

Ja osobiście uważam, że sytuacja wygląda tak:
- ZUS nie może ujawnić specyfikacji KSI MAIL gdyż jest ona tajemnicą przedsiębiorstwa PROKOM, do której ochorny ZUS zobowiązal się w umowie z PROKOM. (prawo przedsiębiorcy do ochorny jego tajemnic również wynika z ustawy i nie może być uznane za mniej istotne niż prawo moje do informacji publicznej)
- protokół komunikacyjny, którego stosowania wymaga instytucja publiczna, do przesyłania do siebie dokumentów elektronicznych musi być publicznie znany (jest informacją publiczną) i ZUS nie może odmówić jego ujawnienia.

Wniosek ZUS musi zmienić protokół na taki, który może ujawnić, lub aneksować umowę z PROKOMEM, tak aby mógł opublikować obecnie używany protokół.

Jak kolwiek nie można pozwabawiać przedsiębiorcy prawa do swojej konstrukcji, tylko dla tego, że jest ona złożona ze standardowych komponentów.

Zastrzegam, że nie znam szczegółów, wiem tylko to co przeczytałem i zrozumiałem z tekstu.

Tajemnica przedsiębiorcy

"Wydaje mi się że z zaprzeczeniem praw własności PROKOM do specyfikacji protokołu KSI MAIL wyłącznie na tej podstawie, że protokół ten oparty jest na stanardowym protokole SSL, w moim mniemaniu sąd się trochę pospieszył."

Sąd z niczym takim się nie pospieszył. Przedmiotem rozstrzygnięcia w ogóle nie były "prawa własności" firmy Prokom do protokołu KSi MAIL tylko dostęp do informacji publicznej - specyfikacji technicznej tego protokołu. ZUS wprawdzie powoływał się na bliżej nieokreślone "prawa" tej firmy do protokołu, w żaden jednak sposób nie wykazał jaka miałaby być treść tych praw. W żaden zatem sposób nie udowodnił w jaki sposób owe prawa miałby by stanowić przesłankę odmowy dostępu do informacji publicznej.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>