MSWiA oczekuje uwag do ustawy o świadczeniu usług drogą elektroniczną - to jest ten czas

Naszła mnie mała refleksja przy wizycie w urzędzie skarbowym, że nowelizacja ma za zadanie główne wyczyścić portfele obywateli. A owa refleksja wynikła z tego, że faktury za internet mam elektroniczne i ile to wysiłku urząd wkłada aby obywatela sprowadzić do parteru. W działaniu państwa widac postepujący faszyzm, bo to obywatel będzie musiał udowodnić dla urzedu, że elektroniczny dokument ma jakakolwiek wartość, a taka wartość nabywa (wg wielu urzedów) po wydrukowaniu;-)

Na razie państwa polskiego nie należy się bać, ale jak długo?

Skoro MSWiA zajmuje się sprawą, to może również zaczęła by obsługiwać infrastrukturę klucza publicznego, najlepiej na bazie openssl? No bo ktoś tam siedzi i sobie knuje nad bazami PESEL, nad mandatami i kto kogo za co. To może by tak klucz każdy by mógł sobie na podstawie dowodu osobistego wyrobić na posterunku MO, tfu policji, a część publiczna mogłaby byc przechowywana w przepastnych bazach danych MSWiA. Skoro Pesele się tam zmieszczą i info o przodkach do trzeciego pokolenia, to i klucze też się tam zmieszczą.

Odnośnie problemów z generowaniem odpowiednich certyfikatów, to nadmieniam, iż do tego żadnej specjalistycznej wiedzy nie potrzeba, a jedynie wstukać kilka danych i klepnąć parę razy enter. I tutaj dochodzimy do sedna sprawy - dlaczego zasadniczą sprawę certyfikatów i podpisu elektronicznego ceduje się na prywatnych (krewnych i znajomych króliczka) operatorów, którzy licza sobie za kilka kliknięć po stówce, skoro łatwo to zrobić inaczej i taniej dla bywateli?

Na styku korporacje-państwo rodzi się faszyzm, a potem przedstwiciele MSWiA bronią owego tworu tak ochoczo pałując obywateli. Skoro prace ręczne na rzecz korporacji ida im tak zgrabnie, to może by coś by zrobili na rzecz obywateli? Choćby załatwienie sprawy infrastruktury i miejsc weryfikacji, anulowania, wystawiania podpisów i certyfikatów. Bo skądinąd wiadomo, że certyfikat wart jest tyle ile zaufanie do wystawcy. Czyżby już na etapie prac zakładano, iz zaufanie do państwa zjechało do zera?

no właśnie, mamy (między innymi) dwa modele przesyłania informacji:
1.z możliwością potwierdzenia u źródla
2.bez możliwości potwierdzenia u źrodla

tylko w tym drugim przypadku nie mamy możliwości prostego potwierdzenia nadania, jest ryzyko fałszerstwa, i tu tylko ma sens "silne" zabezpieczenie podpisem kwalifikowanym.

juz lata temu w wojsku (zajmowałem sie kryptografią zawodowo) było wiadomo, że (przy założeniu że ochrona także pochłania zasoby):
- nie szyfruje sie sygnału do ataku
- szyfruje sie to co ma wartość dla przeciwnika
- udowodnienie i ryzyko tego kto jest autorem przekazu spoczywa na użytkowniku tej informacji
- i na koniec: koszty minimalizacji ryzyka powinny obciążać tylko ryzykującego i nie powiny przekroczyć potenjalnej straty przy wystąpieniu zdarzenia

Obecna ustawa o e-podpisie łamie wszystkie powyższe zasady. Dlaczego?

tradycyjna wymana informacji między ludźmi, firmami, urzędami dopuszcza (praktykujemy): rozmowę, pismo bez podpisu (w szczególności zwykły e-mail), pismo z podpisem odręcznym, pismo z podpisem i pieczątką, pismo poświadczone notarialnie.

Jest tego troszke. Natomiast e-podpis kwalifikowany (ustawowy wymóg stosowania) zrównuje całą komunikacje elektroniczną do poziomu poswiadczeń notarialnych. Nic więc dziwnego, że ustawa jest martwa.

Skoro tak to pojawia sie odwiecze pytanie: skoro podpis nie służy obywatelowi to komu? No i niestety az sie prosi: czy sprzedawcom certyfikatow!

--
Jarek
„Osiągnąłem to przez filozofię: że bez przymusu robię to, co inni robią tylko w strachu przed prawem.” (Arystoteles),

Czy i w jaki dokładnie sposób jako szary obywatel mogę składać takie uwagi do noweli? Czy ktoś wie jak to zrobić i to skutecznie?
Na stronach MSWIA znalazłem taką informację
"Spotkanie w sprawie nowelizacji ustawy o świadczeniu usług drogą elektroniczną"
To znaczy, że trzeba się pofatygować do Warszawy i pewnie jeszcze spełnić szereg warunków?
Jeżeli tak to w jakiś sposób jestem dyskryminowany ponieważ mieszkam na głębokiej prowincji i do Warszawki nie przyjadę.

Powyższe komentarze mają jedną cechę wspólną - ich oczekiwania są inne niż MSWiA i Vagla się spodziewają. Jest to bardzo ważna wskazówka. Widać, że nie jest znana koncepcja (o ile taka istnieje) informatyzacji Państwa. Oczekiwania społeczne nie sprowadzają się do pojedynczych ustaw, lecz do rozwiązania podstawowych problemów. Problemy te zależą od współdziałania ustaw, a nie wyłącznie od każdej z nich osobna.

Moje oczekiwania są takie jak poprzedników. Chcę móc sprawnie i tanio załatwiać sprawy poprzez internet. Jak to się dzieje z rachunkami. Płace przez internet, co zajmuje mi do pół godziny w miesiącu. Poprzednio w kolejkach na poczcie spędzałem ponad 2 godziny. Tak samo chcę załatwiać inne sprawy. Szybko, tanio i kompetentnie.

"Czy i w jaki dokładnie sposób..."

Moje pytanie raczej miało na celu zwrócenie uwagi na fakt, że tak naprawdę nie mam/y (mieszkańcy prowincji itp.) żadnego wpływu na treść ustawy m.in. z powodu technicznych, i że takie konsultacje są ułomne a w konsekwencji mogą nie mieć większego sensu.

Ja natomiast właśnie się zastanawiałem czy platformę aukcyjną można uznać za usługodawcę w rozumieniu ustawy o świadczeniu usług drogą elektroniczną. Sąd belgijski w sprawie L'Oréal przeciwko eBay uznał, że tak. Jednak rola platformy nie ogranicza się tylko i wyłącznie do przechowywania danych użytkowników.

Obawiam się, iż nikły odzew może wynikać z nieznajomości (a być może również nieświadomości istnienia) ustawy. Jej postanowienia mogą mieć wpływ jedynie na duże podmioty świadczące usługi droga elektronicznie (i te podmioty prawdopodobnie przyglądają się ustawie), ale dla 'planktonu' ustawa jest w dniu dzisiejszym bez znaczenia:

• ma pomniejsze znaczenie dla usługobiorców
• ochrona przed ryzykiem prawnym w przypadku małych podmiotów jest iluzoryczna - kluczowa jest tu znajomość ustawy przez organy policyjne
• małe podmioty uczą się na błędach i publikacjach w popularnej prasie - koszt aktywnej analizy prawnej jest zbyt wysoki

Uwagi do ustawy pojawią się, gdy zacznie być ona egzekwowana.

1. Ja bym chciał, żeby w (obecnym) Art.18. ust. 5 było explicite napisane, że dane, o których mowa w punkcie 2) 3) i 4) tego ustępu nie są danymi osobowymi, i że stwierdzenie to nie narusza Ustawy o ochronie danych osobowych. Wydaje mi się że tylko w ten sposób można raz a dobrze uciąć kwestie typu "czy adresy IP w logu serwera www są danymi osobowymi" lub "czy adresy e-mail w nagłówkach serwera news są danymi osobowymi". Art.18. traktuje w całości o danych osobowych w kontekście ustawy, ale w ust.5. użyto sformułowania "Usługodawca może przetwarzać następujące dane [...] (dane eksploatacyjne) [...]". To jest to miejsce, wg mnie.

2. Jak wiadomo Art.10 miał w założeniu przeciwdziałać spamowi. Nie udało się - większość osób przestała wysyłać maila z ofertą, za to wysyła maila z prośbą o zgodę na wysłanie oferty. I już, wszystko jest legalne. Żeby utrudnić spamerom ich działanie (bo nie widzę możliwości całkowitego rozwiązania problemu na drodze tylko i wyłącznie prawnej) dobrze by było, gdyby pojawił się wymóg (nie wiem czy w ustawie czy raczej w ewentualnym rozporządzeniu do niej), by wysyłający taką prośbę o wyrażenie zgody na przesłanie oferty używał środków technicznych zapewnianych przez potencjalnego usługodawcę - czyli jeżeli ktoś chce prosić o zgodę na przesłanie oferty na wyroby Nestle to niech wysyła maila z skrzynki pocztowej w domenie Nestle, a nie z darmowego Onetu. Analogicznie, gdy chcę poszukać wyrobów Nestle to szukam na stronie Nestle a nie na Onecie. Jeżeli dajemy (prawne) narzędzie uzasadniające możliwość wysłania oferty, to dajmy też (prawne) narzędzie umożliwiające zablokowanie takiej korespondencji (per domena). Ja wiem że to jest malutka kropelka w morzu potrzeb, ale nie potrafię zaproponować całościowego a rozsądnego mechanizmu prawnego, zapobiegającego zjawisku.

3. No i należy coś zrobić z Art.14 ust.3, a konkretnie doprecyzować co to jest wiarygodna wiadomość o bezprawnym charakterze przechowywanych danych. Moim zdaniem jeżeli upieramy się przy nazwie bezprawny charakter danych, to nie ma mowy o "wiarygodnej wiadomości" innej niż prawomocny wyrok sądowy, no ewentualnie jeszcze zgłoszenie przez prokuraturę/policję/służby. Ale nawet abstrahując od dywagacji na temat znaczenia słowa "bezprawny", jakoś nie widzi mi się, żeby to Usługodawca decydował o tym, jakiego rodzaju wiadomość jest wiarygodna.

Mam nadzieję, że nowelizacja doprecyzuje Art.9 i 10 dotyczące informacji handlowej i jak te przepisy mają się do informacji handlowych przekazywanych za pośrednictwem aplikacji internetowych zalogowanym użytkownikom. Chodzi mi w szczególności o personalizowane rekomendacje, personalizowane oferty, targetowane reklamy. Zgodnie z obowiązującą ustawą są to informacje handlowe skierowane do oznaczonego odbiorcy (bo personalizowane) przesyłane za pomocą środków komunikacji elektronicznej. Zatem usługodawca powinien uzyskać zgodę użytkownika na ich przesyłanie. Nie zauważyłam jednak, żeby w praktyce ktoś stosował tak restrykcyjną interpretację przepisów Ustawy do treści prezentowanych w obrębie aplikacji internetowej. Np. jako klientka mBanku nie wyraziłam zgody na przesyłanie mi informacji handlowej drogą elektroniczną i faktycznie nie otrzymuję takich wiadomości na mój adres email, jednak po zalogowaniu się do systemu bankowości elektronicznej znajduję przy rachunkach komunikaty reklamujące produkty/usługi banku. Czy można to uznać za łamanie Ustawy o świadczeniu usług drogą elektroniczną?

Warto odnotować Notice and takedown process is flawed, says analysis of Google notices oraz opisany tam raport: Efficient Process or “Chilling Effects”? Takedown Notices Under Section 512 of the Digital Millennium Copyright Act Summary Report (PDF) autorstwa Jennifer M. Urban (Director, Intellectual Property Clinic University of Southern California) oraz Laury Quilter (Non-Resident Fellow, Samuelson Clinic University of California, Berkeley).
--
[VaGla] Vigilant Android Generated for Logical Assassination