Specyfikacja Płatnika to informacja publiczna - orzekł sąd

Zgodnie z wcześniejszymi zapowiedziami - dziś Sąd Rejonowym dla Warszawy - Mokotowa ogłosił wyrok w sprawie z powództwa Sergiusza Pawłowicza przeciwko ZUS o udostępnienie specyfikacji technicznej protokołu KSI MAIL (por. również: O Płatniku i ZUS z neutralnością i otwartością w tle). Sąd przyznał rację Sergiuszowi. Ta sprawa ma kolosalne znaczenie, gdyż tego typu procesów cywilnych związanych z udostępnieniem informacji publicznej nie ma w Polsce jeszcze zbyt wiele. Interesujący dla badaczy jest również przedmiot sporu - specyfikacja techniczna.

Jest tak. Sąd uznał, że tego typu protokół komunikacyjny (wykorzystywany w programie komputerowym “Płatnik – przekaz elektroniczny” autorstwa firmy Prokom Software S.A.) jest informacją publiczną. Sąd przychylił się do stanowiska powoda (wyartykułowanego m.in. w poniżej przedstawionym "Głosie do protokołu", który przedstawił sądowi mec. Artur Kmieciak, reprezentujący Sergiusza w tej sprawie również we wcześniejszym postępowaniu administracyjnym), że nie mieliśmy tu do czynienia z informacją stanowiącą tajemnicę przedsiębiorstwa, że jej przekazanie nie naraziłoby systemu informatycznego ZUS na zagrożenie bezpieczeństwa, etc. Sąd odniósł się również do ustawy o informacji podmiotów realizujących zadania publiczne (ustawa ta wprowadziła pewne przepisy dotyczące ZUS, jednak sąd uznał, że już dziś informacje, których domagał się Sergiusz Pawłowicz są informacją publiczną, zatem może on oczekiwać ich udostępnienia)...

Szczegóły w jutrzejszej Rzeczpospolitej :)

Zapytałem Sergiusza Pawłowicza o komentarz. Napisał właśnie (komunikacja jabberowa działa szybko): "Jestem bardzo zadowolony z wyroku sądu. W cyklu 4 postępowań przed rozmaitymi instancjami sądowniczymi w Polsce, dopiero tutaj dano mi szanse udowodnienia, że ZUS od początku oszukiwał mnie i społeczeństwo, działając na szkodę Państwa. Mam nadzieję, że konsekwencja, z jaką prowadziłem postępowanie będzie wskazówką dla władzy, że społeczeństwo obywatelskie staje się powoli faktem, i że kończą się relacje feudalne z rządzącymi. Chciałbym również zaznaczyć, że wygrana jest w dużej mierze zasługą mojego adwokata, mecenasa Artura Kmieciaka, cieszę się, że mogłem pracować z jednym z najlepszych specjalistów prawnych w dziedzinie informatyki w kraju. Mam nadzieję, że ZUS nie odwoła się od wyroku, gdyż takie działanie tylko odwlecze rzecz w czasie, powiększając koszty społeczne".

Ja zaś spodziewam się (chociaż nie mam w tym zakresie żadnych informacji), że ZUS odwoła się jednak od wyroku do Sądu Okręgowego. Tak czy inaczej - wyrok sądu rejonowego jest interesujący i myślę, że na stałe wejdzie do publicznej debaty i piśmiennictwa dotyczącego dostępu do informacji publicznej. Można spodziewać się niebawem kolejnych informacji. Liczę, że uda się opublikować treść wyroku (ale w tym zakresie trzeba poczekać na jego przekazanie pełnomocnikowi Sergiusza). Mecenas Artur Kmieciak zabierał już głos na forum niniejszego serwisu, zatem liczę, że również tym razem znajdzie czas by podzielić się z czytelnikami swoimi spostrzeżeniami dotyczącymi sprawy.

GŁOS DO PROTOKOŁU
Rozprawy z dnia 25 listopada 2006 r.

W pozwie z dnia 5.01.2004 r. powód Sergiusz Pawłowicz, działając na podstawie przepisów ustawy o dostępie do informacji publicznej, wniósł o nakazanie pozwanemu ZUS udostępnienia informacji publicznej – specyfikacji technicznej protokołu KSI MAIL wykorzystywanym w programie komputerowym “Płatnik – przekaz elektroniczny” autorstwa firmy Prokom Software S.A. Wniesiony przed Sąd Rejonowy dla Warszawy – Mokotowa pozew jest kolejną, po wyczerpaniu drogi postępowania przed sądem administracyjnym, próbą uzyskania dostępu do dokumentacji protokołu KSI MAIL.

Na wstępie należy zauważyć, że takie zagadnienia jak stosowanie wobec ZUS ustawy o dostępie do informacji publicznej podobnie, jak to, iż specyfikacja techniczna oprogramowania może być informacją publiczna w rozumieniu ustawy nie stanowi sporu miedzy stronami. W tej sytuacji zagadnieniem spornym podlegającym rozstrzygnięciu jest to, czy przesłanki wskazane przez pozwanego jako uzasadniające odmowę udostępnienia są zasadne. W ocenie powoda nie są.

Pozwany ZUS konsekwentnie – począwszy od decyzji z dnia 11.07.03 r., a następnie decyzji z dnia 12.08.03 r. odmawia udostępnienia specyfikacji powołując się na różne przesłanki uzasadniające w jego ocenie odmowę udostępnienia specyfikacji. W pierwszej kolejności pozwany Zakład, wskazał na to, że ujawnienie specyfikacji technicznej protokołu stanowi zagrożenie bezpieczeństwa całego sytemu informatycznego ZUS, naruszenie tajemnicy służbowej zakładu oraz na ustawową wyłączność programu udostępnianego przez Zakład płatnikom składek. Dopiero w decyzji z dnia 12.08.03 r. pojawiła się dodatkowa przesłanka w postaci tajemnicy przedsiębiorcy tj. tajemnicy firmy Prokom Software S.A z siedzibą w Warszawie. Należy zauważyć, że to właśnie ta przesłanka, przywołana dopiero w drugiej decyzji, zaważyła nad odrzuceniem skargi wniesionej przez Sergiusza Pawłowicza przed NSA w Warszawie. Przesłanka ta jest o tyle istotna, iż w odpowiedzi na pozew jedynie ona właśnie – tajemnica przedsiębiorcy – Firmy Prokom Software jako jedyna ma uzasadniać odmowę udostępnienia specyfikacji technicznej protokołu.

Można w tym miejscu postawić pytanie o to, co stało się z pozostałymi przesłankami odmowy udostępnienia specyfikacji takimi jak, przykładowo, zagrożenie bezpieczeństwa całego systemu informatycznego ZUS? A jest to pytanie o tyle uprawnione, iż pozwany wprawdzie nie przywołuje tej przesłanki w toku postępowania przed sądem powszechnym to jednak decyzje ZUS wskazujące na powyższą przyczynę nie zostały w żaden sposób uchylone czy unieważnione – zakładać zatem należy, że zawarte w nich rozstrzygniecie wraz z jego uzasadnieniem pozostaje w mocy.

Nie można zatem, tak jak to zostało zrobione w odpowiedzi na pozew, przejść nad zasadnością powyższych przesłanek do porządku dziennego, tak jakby nigdy nie zostały podniesione. Nie inaczej potraktował tę kwestię sąd orzekający w niniejszej sprawie formułując pytania jakie postawione zostały biegłemu: “czy udostępnienie specyfikacji technicznej przedmiotowego protokołu może stanowić zagrożenie dla bezpieczeństwa danych zgromadzonych w bazach ZUS, w szczególności czy może stanowić zagrożenie w zakresie zwiększenia możliwości naruszenia prywatności osób fizycznych (płatników składek).” (postanowienie Sądu Rejonowego dla Warszawy Mokotowa z dnia 19.04.05 r.)

Odpowiedź biegłego na tak sformułowane pytanie jest wprawdzie złożona, ale nie pozostawia żadnych wątpliwości.

1) Po pierwsze, “Niewątpliwie, z punktu widzenia sztuki inżynierskiej byłoby fatalnym błędem, niezwiązanym zresztą z istotą obecnego pozwu, gdyby bazy danych ZUS nie zawierały wszystkich stosownych dla tego typu aplikacji zabezpieczeń integralności danych i systemu”. Problem bezpieczeństwa baz danych i zawartych w nich informacji jest niezwiązany z istotą obecnego sporu – nie dotyczy w ogóle kwestii ujawnienia specyfikacji protokołu. To, czy specyfikacja taka jest dostępna publicznie czy też nie jest nie ma znaczenia dla jakości zabezpieczeń całego systemu, w tym zabezpieczeń baz danych i zawartych w nich informacji. Te ostatnie muszą po prostu spełniać wysokie standardy bezpieczeństwa niezależnie od tego, czy protokoły komunikacyjne są jawne, czy też nie.

Sytuacja, w której bezpieczeństwo zgromadzonych ma rachunkach bankowych środków zależałyby do tajności protokołów komunikacyjnych pomiędzy komputerem klienta a komputerem banku oznaczałoby nie mniej nie więcej tylko załamanie całego systemu bankowości elektronicznej. Tym bardziej może dziwić argumentacja w tej kwestii pozwanego Zakładu. Z decyzji ostatecznej ZUS wynika, bowiem, że ujawnienie protokołu może zagrozić bezpieczeństwu całego systemu i zgromadzonych w nim danych ubezpieczonych. Nie umknęło to uwadze biegłego, który stwierdza, iż trzeci akapit pisma ZUS zdaje się sugerować, iż bazy danych Zakładu nie zawierają stosownych zabezpieczeń integralności danych i systemu. W ocenie strony powodowej z akapitu tego wynika po prostu, iż system informatyczny ZUS nie zawiera koniecznych z punktu widzenia sztuki inżynierskiej zabezpieczeń.

2) Miarą jakości bezpieczeństwa całego systemu przetwarzania i ochrony danych jest jego najsłabszy element. Biegły dr hab. Aleksander Wittlin, podobnie jak wcześniej prof. dr hab. Mirosław Kutyłowski, wskazuje w tym miejscu na system operacyjny Windows komputerów użytkowników programu”Płatnik”, jako potencjalnie najsłabszy element całego systemu teletransmisji danych. Dodatkowo, obecność w komputerze użytkownika różnego oprogramowania, w tym takiego, które mogą albo przechwytywać informacje przesyłane przez pakiet KSI MAIL albo nawet je aktywnie modyfikować stanowią poważne wyzwanie dla projektantów systemu ochrony informacji. Biegły wyraźnie jednak podkreśla – jest to problem wynikający ze słabości systemu operacyjnego lub innych aplikacji, a nie jawności protokołu komunikacyjnego.

“Ale do takiego ataku potrzebna byłaby wiedza o konstrukcji aplikacji (kod źródłowy i temu podobne informacje) KSI MAIL, a nie sama specyfikacja protokołu”. Wniosek biegłego nie może pozostawiać żadnych wątpliwości: “Reasumując, chociaż możliwe jest wyobrażenie hipotetycznych scenariuszy ataku na aplikację realizującą protokół KSI MAIL w celu pozyskania lub modyfikacji danych płatników składek, (...) atak taki nie jest bezpośrednio związany ze znajomością protokołu KSI MAIL, ale raczej ze szczegółami implementacji stosownych algorytmów”.

Warto w tym miejscu wspomnieć, co w kwestii bezpieczeństwa systemu informatycznego ZUS i bezpieczeństwa zgromadzonych w nim danych ubezpieczonych ma do powiedzenia wspomniany już prof. dr hab. Mirosław Kutyłowski. Załączona do akt sprawy “Opinia w sprawie jawności formatu a bezpieczeństwa przekazu danych” z dnia 2.12.03 r. nie jest wprawdzie opinią sądową – sporządzona została na prośbę strony na potrzeby postępowania administracyjnego - nie może być jednak żadnych wątpliwości, co do jej przydatności dla rozstrzygnięcia w niniejszej sprawie. Autor opinii - prof. dr hab. Mirosław Kutyłowski jest niekwestionowanym autorytetem z zakresu kryptografii, autorem wielu publikacji naukowych.

W opinii czytamy:

• Współczesne technologie bezpiecznej transmisji danych nie wymagają poufności stosowanych algorytmów i formatu danych. Niejawność informacji na ten temat nie podnosi bezpieczeństwa systemu w przypadku zastosowania wiarygodnych metod ochrony.
• Upublicznienie metody transmisji danych nie miałoby jakiegokolwiek negatywnego wpływu na poziom bezpieczeństwa danych do ZUS.
• System ochrony danych w trakcie transmisji od płatników do ZUS oparty jest na standardowych i wiarygodnych algorytmach kryptograficznych. Tym samym ujawnienie szczegółów na temat sposobu kodowania nie zmniejsza poziomu bezpieczeństwa, dokładnie tak samo, jak to mam miejsce w przypadku bezpiecznych podpisów elektronicznych.

W tej sytuacji nie może ulegać żadnej wątpliwości to, że przesłanka odmowy dostępu do informacji publicznej w postaci rzekomego zagrożenia bezpieczeństwa systemu informatycznego ZUS, w tym także bezpieczeństwa gromadzonych w nim danych ubezpieczonych jest w świetle współczesnej wiedzy inżynieryjnej nieprawdziwa. Ujawnienie protokołu komunikacyjnego KSI MAIL nie może stanowić zagrożenia dla systemu informatycznego ZUS, ani tym bardziej dla bezpieczeństwa przetwarzanych przez system danych ubezpieczonych.

Należy z przykrością stwierdzić, iż Zakład Ubezpieczeń Społecznych powołując się na powyższą przesłankę wprowadzał powoda w błąd i to, w świetle przebiegu całego postępowania o udostępnienie informacji publicznej, wprowadzał w błąd jak najbardziej świadomie. Kierownictwo ZUS mając do dyspozycji fachowe wsparcie takich firm informatycznych jak Prokom Software S.A czy Unizeto sp. z o.o. nie mogło nie wiedzieć, że ujawnienie specyfikacji protokołu nie stanowi zagrożenia dla systemu informatycznego Zakładu. Jest to przecież standard zgodny z najlepszymi wzorami współczesnej teorii i praktyki informatycznej, który informatykom obu powyższych firm jest doskonale znany.

Wystarczy powiedzieć, że firma Unizeto sp. z o.o. jest jednym z trzech kwalifikowanych podmiotów świadczących usługi certyfikacyjne wpisanym do rejestru takich podmiotów. Przedmiotem działalności firmy jest, między innymi, wydawanie kwalifikowanych certyfikatów będących elementem infrastruktury klucza publicznego. Fakt publicznej dostępności narzędzi kryptograficznych takich jak protokoły komunikacyjne, biblioteki i algorytmy kryptograficzne jest dla pracowników tej firmy czymś oczywistym – chociażby z tego powodu, że są one wykorzystywane w oferowanych przez firmę produktach. Aby dalej nie szukać - protokół KSI MAIL – oparty jest o pakiet SSL/OPEN SSL, wykorzystuje algorytmy 3DES i RSA oraz SHA1 jako funkcję skrótu, o czym niżej.

W tym stanie rzeczy mamy do czynienia z sytuacją, w której instytucja publiczna odmawia obywatelowi dostępu do informacji publicznej świadomie powołując się na nieprawdziwe przesłanki. Rzekome zagrożenie bezpieczeństwa systemu staje się jedynie pretekstem dla uniknięcia konieczności współpracy z niezależnymi programistami i konieczności udzielenia odpowiedzi na kilka niewygodnych pytań – między innymi na to – dlaczego program “Płatnik” napisany został jedynie na jedną platformę operacyjną autorstwa międzynarodowego koncernu?

Niezależnie od tego, czy w niniejszej sprawie zapadnie wyrok zgodny z żądaniem powoda to jedno można powiedzieć z całą pewnością - proces ten jasno wykazał, że ZUS powołując się na nieistniejące zagrożenie bezpieczeństwa systemu, jako na przesłankę odmowy udostępnienia informacji publicznej złamał, niżej podpisany jest przekonany, że świadomie, przepisy ustawy o dostępie do informacji publicznej. W świetle opinii biegłych jest to fakt stwierdzony czarno na białym potwierdzony autorytetem uznanych ekspertów z dziedziny kryptografii.

II. Jak to już zostało podniesione - w odpowiedzi na pozew nie ma mowy o zagrożeniu systemu informatycznego Zakładu jako ewentualnej konsekwencji udostępnienia specyfikacji protokołu KSI MAIL. Podobnie w treści pism składanych przez ZUS w toku postępowania także nie ma mowy o powyższej przesłance. Mowa jest natomiast o tajemnicy przedsiębiorstwa, w tym przypadku firmy Prokom Software S.A. jako przyczyny odmowy udostępnienia specyfikacji.

„Moduł KSI MAIL nie jest wyizolowaną aplikacją, ale stanowi jeden z elementów Kompleksowego Systemu Informatycznego zakładu Ubezpieczeń Społecznych. System ten, jak również jego elementy, są dedykowane wyłącznie dla ZUS. Z tego względu, zawarta w dniu 10 października 1997 roku umowa pomiędzy Zakładem a Prokom Software S.A. z siedzibą w Warszawie przy al. Jerozolimskich 65/79 o zaprojektowanie i wykonanie Kompleksowego Systemu Informatycznego dla ZUS oraz przekazania do eksploatacji oprogramowania użytkowego w ZUS – zawiera postanowienia, że Zakład zobowiązuje się zachować w tajemnicy wszelkie informacje związane z przekazaną technologią i rozwiązaniami zawartymi

W załączeniu do odpowiedzi na pozew złożony został wyciąg z tekstu jednolitego umowy o zaprojektowanie i wykonanie KSI dla ZUS.

Z redakcji §8 umowy zawartej między Zakładem Ubezpieczeń Społecznych a firmą Prokom Software S.A. wynika, że nie jest umową o przeniesienie autorskich praw majątkowych do oprogramowania ale umową licencyjną, upoważniającą Zakład do korzystania z systemy w ściśle określonym zakresie. Wynika z tego, że Zakład Ubezpieczeń Społecznych zawarł umowę o zaprojektowanie i wykonanie kompleksowego systemu informatycznego bez zagwarantowania sobie prawa do kodu źródłowego oprogramowania użytkowego systemu. Zgodnie z treścią przepisu par. 8 ust. 1 umowy wersje źródłowe oprogramowania zostają ZUS “przekazane” z chwilą przekazania systemu do eksploatacji. ZUS może je wykorzystywać tylko i wyłącznie dla własnych potrzeb i to tylko tych związanych z eksploatacją oprogramowania, jego rozwojem i zmianą i tylko w tym celu może je udostępniać osobom trzecim. (par. 8 ust. 2). Dodatkowo, dokonane przez ZUS zmian w kodzie źródłowym bez autoryzacji ze strony firmy “Prokom” oznaczać będzie, że firma ta zwolniona będzie z odpowiedzialności określonej w paragrafie 7 umowy.

Strona powodowa nie odmówi sobie pewnego komentarza to tak sformułowanych praw i obowiązków stron powyższej umowy, choć nie dotyczy to bezpośrednio żądania pozwu.. Biorąc jednak pod uwagę to, że roszczenie dotyczy istotnej kwestii publicznej – prawa obywatela do informacji nie od rzeczy jest wskazać na oczywistą asymetrię w prawach i obowiązkach stron umowy zawartej pomiędzy ZUS a firmą Prokom Software S.A.

Nie zagwarantowanie przez Zakład praw własności do kodów źródłowych oprogramowania użytkowego oznacza, iż prawo to przysługuje w firmie Prokom. Tylko ona zatem ma pełną swobodę w zakresie modyfikacji oprogramowania. Oznacza to pełne uzależnienie pozwanego ZUS od wykonawcy systemu w zakresie zmian, uzupełniania, rozbudowywania całego systemu, przetwarzającego dane milionów ubezpieczonych. Trudno zrozumieć dlaczego taka sytuacja w ogóle ma miejsce, trudno nie zadać publicznie pytania o kompetencje osób, które podpisały umowę tej treści. Można jednakże z dużą pewnością stwierdzić, iż sytuacji takiej można było uniknąć wtedy, kiedy sam proces wyboru projektodawcy i wykonawcy systemu, a także oferowanych przez niego rozwiązań byłby jawny, poprzedzony publiczną debatą i poddany społecznej kontroli. Chodzi w tym miejscu o przejrzystość i jawność w projektowaniu i realizacji publicznych projektów informatycznych.

Strona powodowa chciałaby podkreślić, że w niniejszym procesie nie chodzi tylko i wyłącznie o realizację prawa do informacji pojedynczego obywatela, choć oczywiście chodzi i także o to. Sergiusz Pawłowicz występując do ZUS z wnioskiem o udostępnienie informacji publicznej i popierając ten wniosek przed sądami administracyjnymi i powszechnymi działa także w szeroko rozumianym interesie publicznym. Wytoczenie powództwa w niniejszej sprawie jest niczym innym jak właśnie realizacją postulatu przejrzystości i jawności w postępowaniu instytucji publicznych w RP.

Niezależnie jednak od tego, w jakich okolicznościach i jakiej treści została zawarta umowa i jak w rzeczywistości niekorzystne byłyby dla ZUS jej postanowienia to zasadniczą kwestią postaje do rozstrzygnięcia to, czy treść załączonej umowy, a w szczególności załączony jej fragment, są wystarczającym uzasadnieniem do odmowy udzielania dostępu do specyfikacji technicznej protokołu KSI MAIL. W załączonym fragmencie umowy nie ma mowy o protokole komunikacyjnym a jedynie o wersjach lub kodach źródłowych.

Jednocześnie, zobowiązanie ZUS do zachowania w tajemnicy zakreślone zostało maksymalnie szeroko, na tyle szeroko, iż ma dotyczyć właściwie wszelkich technologii użytych do projektowania i wdrożenia systemu. “ZUS zobowiązuje się zachować w tajemnicy wszelkie informacje związane z przekazaną technologią i rozwiązaniami zawartymi w przekazanych kodach źródłowych”. W ocenie strony powodowej zakreślony w ten sposób katalog informacji podlegających tajemnicy oznacza, że obejmuje ona także technologie ogólnodostępne, będące także objęte prawami autorskimi osób trzecich. “Wszelkie technologie i rozwiązania” obejmują przykładowo protokół TCP/IP czy HTTP (SSL jest kryptograficzną “nakładką na protokół HTTP) czy protokoły poczty elektornicznej. Jest to zastrzeżenie tyleż nieskuteczne, co po prostu absurdalne. ZUS nie może zobowiązywać się do zachowania w tajemnicy, nie mniej, nie więcej niż większości zasobów światowego Internetu.

W ocenie strony powodowej już sam fakt określenia w taki sposób granic tajemnicy jest błędny w tym sensie, iż ni może po prostu zawierać wszystkich wykorzystanych technologii tylko ewentualnie te, które rzeczywiście stanowią tajemnicę przedsiębiorstwa Prokom Software SA. Wyrazić należy opinię, że odpowiednia klauzula winna być określona na tyle precyzyjnie, aby było wiadomo kiedy osoba trzecia narusza tajemnice przedsiębiorstwa, a kiedy porusza się w obszarze tajemnica nieobjętym np. należącym do domeny publicznej.

Powyższa okoliczność sama w sobie winna przesądzać o tym, że treść par. 8 umowy nie może stanowić przesłanki odmowy dostępu do specyfikacji protokołu KSI MAIL. Jest jeszcze jednak druga okoliczność – protokół KSI MAIL to pakiet obejmujący powszechnie znane, nie objęte prawami autorskimi firmy Prokom narzędzia programistyczne i kryptograficzne. Do rozstrzygnięcia jest zatem doniosła kwestia: czy może stanowić odmowę udostępnienia informacji publicznej przesłanka w postaci tajemnicy przedsiębiorstwa w sytuacji, w której tajemnicą mają być objęte technologie jawne, powszechnie dostępne i nie objęte prawami autorskimi czy patentowymi przedsiębiorcy? W ocenie strony powodowej nie - sam fakt, iż mamy do czynienia z technologiami udostępnionymi publicznie przesądza, że nie możemy mówić o jakiejkolwiek tajemnicy, a szczególnie tajemnicy przedsiębiorcy.

Zadaniem biegłego było między innymi udzielenie odpowiedzi na pytanie czy narzędzia użyte do budowy protokołu są powszechnie dostępne, względnie czy ich budowa jest ogólnie znana.

Z informacji dostępnych biegłemu wynika z prawdopodobieństwem graniczącym z pewnością, że “protokół KSI MAIL oparty jest na infrastrukturze podpisu elektronicznego, a jego realizacja techniczna oparta jest na pakiecie programów noszących nazwę SSL/OPEN SSL.” “Wydaje się to wskazywać, z prawdopodobieństwem graniczącym z pewnością, że mamy do czynienia z tym samym algorytmem. W związku z tym, dalszy opis i analiza pakietu KSI MAIL oparte są na publicznie dostępnej specyfikacji, kodzie źródłowym i obszernej analizie pakietu SSL/OPEN SSL”.

Należy podkreślić, że strona powoda od samego początku procesu wskazywała na to, że protokół KSI MAIL oparty jest na pakiecie SSL/OPEN SSL. Jest to najlepszym dowodem na to, że budowa protokołu jest publicznie znana – nie może zatem stanowić tajemnicy kogokolwiek – w tym także tajemnicy przedsiębiorcy – firmy Prokom Software S.A. Nie stanowi także tajemnicy rodzaj algorytmów kryptograficznych użytych w protokole. Są nimi: algorytm symetryczny - algorytm 3DES, algorytm asymetryczny – algorytm RSA. Oba algorytmy są publicznie dostępne i dokładnie opisane. To samo dotyczy tzw. funkcji skrótu – SHA1. W tej sytuacji nie jest wiadomo, jakie to elementy protokołu miałyby stanowić tajemnicę firmy Prokom skoro protokół KSI MAIL to właśnie wskazane powyżej narzędzia programistyczne i kryptograficzne. Opinia biegłego nie była w żadnym stopniu kwestionowana przez stronę pozwaną – wnosić zatem należy, że protokół nie zwiera innych elementów, które mogłyby stanowić tajemnicę firmy Prokom.

Przeciwnie – elementy pakietu OpenSSL „są to narzędzia w sposób ewidentny publiczne. Pakiet programów SSL/OPEN SSL jest publicznie dostępny w postaci kodu źródłowego oraz różnych implementacji binarnych poprzez strony internetowe (…) jest też opisany w licznych publikacjach i w podręcznikach poświęconych ochronie informacji i kryptografii”. Wydaje się, że nie można tego dobitniej powiedzieć. Elementy protokołu KSI MAIL nie są żadną tajemnicą. Ponadto, „W świetle powyższych uwag nic nie wskazuje na szczególną oryginalność unikalność czy nowatorstwo rozwiązań informatycznych czy kryptologicznych”. Ten ostatni wniosek z opinii biegłego nie pozostawia także żadnych wątpliwości co do ewentualnych praw autorskich firmy Prokom do co do sposobu, w jaki narzędzia informatyczne i kryptologiczne zostały wykorzystane przy budowie KSI MAIL.

III. Dla strony powodowej jest oczywiste, że działania pozwanego ZUS zmierzają do przedłużenia postępowania tak, aby ewentualne, niekorzystne dla niego rozstrzygnięcie nie mogło zapaść, przed lipcem 2007 r. kiedy to nałożony przez ustawodawcę obowiązek udostępnienia specyfikacji ma uczynić niniejszy proces bezprzedmiotowym.

Można w tym miejscu postawić pytanie o sens prowadzenia procesu w sytuacji, w której ustawodawca i tak nałożył na pozwany ZUS obowiązek udostępnienia specyfikacji. Strona powodowa jest przekonana, że uzyskanie rozstrzygnięcia w niniejszej sprawie jest konieczne z wielu różnych, ale zawsze istotnych powodów.

Po pierwsze dlatego, że ustalony na lipiec 2007 r. termin udostępnienia przez Zakład informacji można zawsze przedłużyć. Po drugie dlatego, że pozew wniesiony został przed blisko trzema laty i nie ma doprawdy żadnych powodów, dla których miałby się on skończyć inaczej niż merytorycznym rozstrzygnięciem. Należy także stwierdzić, iż sprawa niniejsza ma także swój szerszy wymiar – wykraczający daleko poza obszar zakreślony przez samo żądanie pozwu. W niniejszej sprawie chodzi także i o coś więcej niż o uzyskanie dostępu do informacji publicznej – specyfikacji technicznej protokołu KSI MAIL. Chodzi w niej także o sposób w jaki instytucje państwowe wykonują postanowienia ustawy o dostępie do informacji publicznej.

W ocenie strony powodowej sposób w jaki został potraktowany wniosek Sergiusza Pawłowicza o udostępnienie informacji publicznej świadczy o tym, jak bardzo iluzoryczne jest w rzeczywistości prawo obywatela do uzyskania informacji publicznej. Okazuje się bowiem, że mimo zapisów Konstytucji, mimo postanowień ustawy o dostępie do informacji publicznej, mimo orzecznictwa sądów powszechnych i administracyjnych instytucja państwowa może skutecznie przedłużyć i utrudnić postępowanie o udostępnienie informacji, w oparci o wątpliwe lub wprost nieprawdziwe przesłanki.

Dzieje się to w sytuacji, w której grupa niezależnych programistów, z własnej inicjatywy, podjęła projekt zaprojektowania i wykonania oprogramowania będącego odpowiednikiem programu „Płatnik” także na inne niż Windows systemy operacyjne. Ta obywatelska inicjatywa miała na celu zmianę zupełnie niebywałej sytuacji, w której przepisy prawa skonstruowano w ten sposób, iż warunkiem wykonania, nałożonego na przedsiębiorcę ustawowego obowiązku jest zakupienie konkretnie wskazanego produktu ściśle określonego producenta – systemu operacyjnego Windows firmy Microsoft.
Stronie powodowej nie jest znany bardziej szokujący przykład pogwałcenia zasady neutralności technologicznej prawa niż program „Płatnik”. W tej sytuacji wydawać by się mogło, że w interesie samego ZUS jest zmiana tak kłopotliwej sytuacji, iż pozwany Zakład zrobi wszystko aby dostosować oprogramowanie tak, aby można je było wykorzystać także na innych niż Windows platformach programistycznych.

Okazało się jednak, że pozwany ZUS nie tylko nie podjął w tym kierunku żadnych działań ale jeszcze dodatkowo zrobił wszystko aby niezależną, obywatelską inicjatywę obywateli rozmyć w proceduralnych sporach w taki sposób aby rzecz całą przedłużyć w nieskończoność. Pamiętajmy w tym miejscu o tym, że mamy do czynienia z dziedziną tak specyficzną jak informatyka – postęp technologiczny liczy się w niej w tygodniach a nie latach. Skuteczne przedłużanie postępowań, której przedmiotem są technologie informatyczne o lata, jak to ma miejsce w przypadku programu Janosik, jest równoznaczne ze skutecznym uchyleniem się od obowiązku.

Wyrazić w tym miejscu należy nadzieje, że rozstrzygnięcie niezawisłego sądu w sprawie z powództwa Sergiusza Pawłowicza będzie czytelnym sygnałem, że tego typu praktyki publicznych instytucji nie będą więcej tolerowane. Nie będzie już tolerowane bezpodstawne uniemożliwianie obywatelowi dostępu do informacji publicznej, a tym bardziej uniemożliwianie mu takiego dostępu w oparciu o nieprawdziwe przesłanki. W sprawie przeciwko pozwanemu ZUS, to że były to nieprawdziwe przesłanki wynika z treści opinii biegłego, której wnioski nie pozostawiają żadnych wątpliwości – „ani argumenty ZUS ani też powszechnie przyjęte dobre praktyki ochrony informacji nie dostarczają przekonywujących argumentów za ukrywaniem specyfikacji protokołu będącego przedmiotem pozwu.”

W tym stanie rzeczy pozew należy uznać za zasadny.

Jak wspomniałem. Czekam teraz na udostępnienie treści wyroku, zaś relacje z dzisiejszego ogłoszenia przeczytać będzie można jutro w Rzeczpospolitej. Tam równiez więcej komentarzy i wypowiedzi na ten temat.

Czytaj również:

• 8 grudnia ma być wyrok w sprawie Płatnika
• O Płatniku i ZUS z neutralnością i otwartością w tle
• Rozprawa w sprawie ZUS
• ZUS nie ma pojęcia!
• ISOC Polska vs ZUS
• ISOC vs. ZUS
• ZUS o Janosiku
• Janosik v. ZUS
• ZUS odmawia... Co to znaczy?
• ZUS przez Sieć
• ZUS i Microsoft
• ZUS: oficjalne stanowisko
• Sprawa ZUS w prokuraturze
• Odpowiedz odmowna z ZUS
• Wynik sprawy ISOC v. ZUS
• NSA przyjął pozew w sprawie ZUS
• Elektroniczny ZUS
• Kolejna grupa zobowiązana wobec ZUS
• ZUS rekonfiguruje się
• Kiedy neutralny Płatnik?
• Ciąg dalszy ZUSu
• Kłopoty z downloadem Płatnika
• Sprawy przed NSA (Płatnik)
• NSA i płatnik
• Monopol płatnika
• Janosik vs. Płatnik cd.
• Płatnik - przekaz elektroniczny
• Ustawa o informatyzacji - II czytanie
• O Janosiku
• NSA vs. GIODO (z ZUSem w tle)
• Janosik 0.0.2
• Spór o Janosika cd.
• Płatnik nie jedyny?