Z historii prac nad Rejestrem Stron i Usług Niedozwolonych - posiedzenie z 3. grudnia 2009 r.

Chociaż nadal nie wiemy, kto wymyślił samą nazwę "Rejestr Stron i Usług Niedozwolonych", a sam "rejestr" wypadł z projektu Ministerstwa Finansów, to jednak warto odnotować "Rekomendację w zakresie technicznych aspektów realizacji zadań wynikających z art. 179a ustawy Prawo telekomunikacyjne zamieszczonych w projekcie ustawy o zmianie ustawy o grach hazardowych oraz niektórych innych ustaw jako wynik prac specjalnego zespołu Zadaniowego KRMIiŁ", który to dokument był przedmiotem 18. posiedzenia Komitetu Rady Ministrów ds. Informatyzacji i Łączności w dniu 3 grudnia 2009 r. Taka historyczna wstawka.

Materiały z tego posiedzenia można znaleźć na dedykowanej stronie Komitetu Rady Ministrów. Tam również jest załącznik: Rekomendacje Zespołu Zad. KRMIiŁ ds. zmian Pt (art. 179 a) zamieszczonych w projekcie ust. o zmianie ust. o grach hazardowych oraz niektórych innych ustaw (PDF). Warto - jak uważam - wnikliwie zapoznać się z tymi, historycznymi już, rekomendacjami. Być może ktoś jeszcze będzie chciał je wcielać w życie.

Oczywiście cały dokument jest istotny, ale poniżej tylko niektóre rekomendacje:

(...)
2. O ile można analizować stosunkowo szerokie doświadczenia innych krajów demokratycznych (takich jak Australia, Dania, Finlandia, Niemcy, Norwegia, Szwecja, Włochy, Wielka Brytania) z zakresie utrudniania dostępu do treści, zawierających pornografię dziecięcą w Sieci, o tyle zakres takiego utrudniania dostępu do treści związanych z hazardem elektronicznym jest znacznie węższy. Nie są znane przypadki ustawowego utrudniania dostępu do treści propagujących faszystowski lub inny totalitarny ustrój państwa. Nie udało się również prześledzić oświadczeń innych państw w zakresie zwalczania phishingu tą metodą.
(...)
4. Nie ma wątpliwości, że skuteczność blokowania nigdy nie osiągnie 100 % stron internetowych o treści uznanej za sprzeczną z prawem. Zasoby internetowe, których identyfikatory wpisane zostaną do „Rejestru Stron i Usług Niedozwolonych” będą bowiem dostępne przez sieć Internet (lub w ramach usług takich jak choćby usługi peer-to-peer) pod innymi identyfikatorami lub przy pomocy innej technologii (przykładowo w związku z istnieniem sieci anonimizujących, połączeń poprzez VPN, serwerów i usług proxy, mechanizmów zmiany adresów IP lub zmiany adresów URL, które eliminują dość skutecznie możliwość blokowania ze strony operatorów).
(...)
6. Nie należy rozważać – przynajmniej w obecnej chwili – problematyki blokowania usług świadczonych w ramach peer-to-peer czy w ramach gier z grupy massively multi-player online role playing game (MMORPG) typu: Second Life, Ethropia Universe itp.
(...)
8. Nie ma wątpliwości, że tak system teleinformatyczny obsługujący „Rejestr Stron i Usług Niedozwolonych”, jak również komunikacja pomiędzy uprawnionymi służbami i rejestrem oraz pomiędzy rejestrem a przedsiębiorcami telekomunikacyjnymi będą obiektem ataków hakerskich wszystkich możliwych typów (od ataków DoS i DDoS po próby modyfikacji lub usunięcia danych). Szczególną uwagę należy zwrócić na właściwe zabezpieczenie Rejestru oraz dróg komunikacji z nim. Na obowiązki z tego zakresu należy zwrócić uwagę przynajmniej w delegacji wynikającej z art. 179a ust. 9

9. W związku z rekomendacją 8 należy zauważyć, że zakres ataków hakerskich będzie wprost uzależniony od:

  • zakresu regulacji art. 179a ust. 2 (im szerszy zakres merytoryczny tym większy krąg zainteresowanych w atakach oraz tym większy zakres
    „przyzwolenia społecznego” na dokonywanie takich ataków, szczególnie spoza granic Polski);
  • zakresu jawności rejestru (im więcej danych jest jawnych, tym większa łatwość przygotowania i przeprowadzenia ataku).

10. Zamiast sformułowania „niezwłocznego blokowania dostępu do stron internetowych lub usług” należy w przepisie art. 179a ust. 3 użyć sformułowania „utrudniania dostępu do stron internetowych lub usług poprzez niezwłoczne blokowanie dostępu do adresów elektronicznych wpisanych do Rejestru Stron i Usług Niedozwolonych”.

11. Należy rozważyć wpisanie do ustawy szczegółowego określenia czasowego w art. 179a ust. 3 np. poprzez określenie „nie później niż w 6 godzin od udostępnienia przedsiębiorcy telekomunikacyjnemu danych umożliwiających blokowanie”.

12. Należy zwrócić uwagę na fakt, że istnieje wiele powszechnie dostępnych rozwiązań omijania blokowania dostępu do zasobów (np. ciągła zmiana adresu IP w sposób automatyczny, ciągła zmiana adresu domenowego). Z tego powodu, każde przyjęte rozwiązania techniczne mogą stać się mało skuteczne. Wymagany jest stały monitoring technik obejścia blokowania treści dokonywany przez podmiot odpowiedzialny za prowadzenie „Rejestru Stron i Usług Niedozwolonych”.
(...)
14. Istnieje pilna konieczność rozpoczęcia prac nad projektem rozporządzenia, do którego delegację zamieszczono w art. 179a ust. 9. Prace te powinny być prowadzone z udziałem środowiska naukowego i informatycznego oraz przy wykorzystaniu praktycznych rozwiązań zastosowanych w Danii, Finlandii, Niemczech, Norwegii, Szwecji, Wielkiej Brytanii i Włoszech, z ewentualnym odwołaniem do doświadczeń Australii.

15. Treść art. 179a ust. 4 należy przekształcić tak, by umożliwiała realizację zasady jawności wyłącznie przez dokonywanie zapytań o występowanie konkretnego adresu w bazie Rejestru. Nie jest bowiem wskazane, by dane dostępne były w całości dla wszystkich zainteresowanych na jednej liście. Należy jednocześnie rozszerzyć delegację w art. 179a ust. 9 o sposób udostępniania danych z Rejestru.

16. Należy zdawać sobie sprawę, że jawna część Rejestru będzie szczególnie narażona na ataki hakerskie wszystkich możliwych typów (od ataków DoS i DDoS po próby modyfikacji lub usunięcia danych). Przy wprowadzaniu rozwiązań technicznych dotyczących ujawniania danych z Rejestru na podstawie art. 179a ust. 4 należy zapewnić, by pytania kierowane były do repliki Rejestru.
(...)
18. Przy ustalaniu vacatio legis przepisów należy wziąć pod uwagę, że podmiot zobowiązany do prowadzenia Rejestru musi stworzyć nowy – nie istniejący w tej chwili Rejestr oraz obsługujący go system teleinformatyczny. Wymaga to nakładów finansowych i czasu uwzględniającego przepisy budżetowe oraz przepisy o zamówieniach publicznych.
(...)
21. Zespół zwraca uwagę na fakt, że utrudnianie dostępu do stron i usług może – np. w przypadku błędnego wpisu – rodzić odpowiedzialność odszkodowawczą po stronie uprawnionych podmiotów.

22. Wskazane jest ujęcie w ustawie (wzorem rozwiązań niemieckich) wyłączenia odpowiedzialności przedsiębiorców telekomunikacyjnych z tytułu roszczeń cywilnoprawnych wynikłych z poprawnego wykonania czynności blokowania.

23. Wskazane jest ujęcie w ustawie (wzorem rozwiązań niemieckich) przepisu dotyczącego obowiązkowego komunikatu o wstrzymaniu usługi (przynajmniej wobec usług świadczonych przy użyciu protokołu http://), przekazywanego przez przedsiębiorcę telekomunikacyjnego użytkownikowi sieci przy jednoczesnym podaniu podstawy prawnej i informacji o organie prowadzącym Rejestr.
(...)

To tylko niektóre z rekomendacji zespołu zadaniowego Komitetu Rady Ministrów Informatyzacji i Łączności ds. zmian do ustawy PT zamieszczonych w projekcie ustawy o zmianie ustawy o grach hazardowych oraz niektórych innych ustaw, o którego składzie osobowym sam dokument jednak milczy.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

PDF properties

xpert17's picture

Autor: wwiewiorowski
kto zacz?

Dr Wojciech Wiewiórowski

VaGla's picture

Dr Wojciech Rafał Wiewiórowski, Dyrektor Departamentu Informatyzacji w Ministerstwie Spraw Wewnętrznych i Administracji, adiunkt i kierownik Pracowni Informatyki Prawniczej na Wydziale Prawa Administracji Uniwersytetu Gdańskiego oraz wykładowca prawa europejskiego w Gdańskiej Wyższej Szkole Administracji. Pan Doktor odwiedza czasem ten serwis (pozdrawiam serdecznie).

--
[VaGla] Vigilant Android Generated for Logical Assassination

Kilka drobnych wyjaśnień

Dziekuje za pozdrwienia.

Aby wyjaśnić kilka wątpliwości dodam tylko:

1. Nie jest to opinia moja. Jest to opinia specjalnego zespołu zadaniowego Komitetu Rady Ministrów ds. Informatyzacji i Łączności (KRMiŁ), w którego skład wchodziło ok. 20 osób z administracji rządowej. Opinia została przyjęta przez KRMiŁ in pleno 3 grudnia 2009 r.. Autorem jest więc KRMiŁ. To prawda, że dokument (w znaczeniu pliku) został stworzony przeze mnie, ale nie mam wystarczającej wiedzy, by wyrażać tak szerokie opinie. Byłem natomiast przewodniczącym zespołu i ponoszę współodpowiedzialność za jego treść.

2. Zespół korzystał ze wsparcia ekspertów zewnętrznych zgłoszonych przez NASK i KIGEiT. Jednak rekomendacje nie oddają dokładnie opinii ekspertów - czytaj: jeśli Państwo nie zgadzacie się z którąkolwiek z rekomendacji, nie wińcie za nią ekspertów, lecz Komitet lub osoby wchodzące w skład zespołu zadaniowego KRMI w tym mnie.

3. Zespół w swych pracach odnosił się do pierwotnej wersji projektu.

4. Większość rekomendacji została wykorzystana wprost przez twórców ostatecznej wersji projektu ustawy.

5. Ponieważ w pierwotnym projekcie pojawiły się sformułowania "strony i usługi" należało się odnieść do innych usług niż te świadczone na stronie internetowej. Stąd negatywna opinia zespołu o P2P i MMORPG. Z tego co pamiętam nikt nie proponował wprost objęcia MMORPG ustawą, ale zespół czytając literalnie pierwotny projekt ustawy uznał, że odnosiłby się on do "pokera na lindendollary w SL". W tej sytuacji zawarto rekomendację odnoszącą się do tego rodzaju "usług".

Pozdrawiam

Wojciech Wiewiórowski

Punkt 6. rekomendacji

6. Nie należy rozważać – przynajmniej w obecnej chwili – problematyki blokowania usług świadczonych w ramach peer-to-peer czy w ramach gier z grupy massively multi-player online role playing game (MMORPG)

Dla mnie wyglada to na skontrowanie czyjegos pomyslu, zeby blokowac p2p i gry sieciowe. P2P skad sie wzielo - wiadomo. Ale MMO? To jest straszne. Kto w ogole wpadl na to, zeby dopiac do tego MMO?

MMORPG

Trochę to naciągane, ale hazard w internecie jest formą gier MMORPG, tyle że z wymiernymi korzyściami.

Nie koniecznie naciągane

VaGla's picture

Nie koniecznie naciągane, a przynajmniej nie w mojej ocenie, która wszak nie musi przeważać, ale istotnie trochę o hazardzie jest w dziale gry niniejszego serwisu, ponieważ były notatki, które łączyły hazard z grami typu MMORPG i innymi.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Second Life...

Mikołaj's picture

Second Life, o którym mowa w tym dokumencie, to także miejsce podejrzewane o rozsiewanie pedofilii. Na skalę raczej incydentalną, ale rozdmuchiwaną od 2007 roku. Jak znam życie, ktoś poszedł za ciosem i potraktował zbiorczo wszystkie gry sieciowe.

--
Piotr "Mikołaj" Mikołajski
http://piotr.mikolajski.net

Rekomendacje są interesujące...

Mikołaj's picture

Rekomendacje są interesujące, bo w praktyce niewiele się różnią od krytyki RSiUN ze strony organizacji pozarządowych oraz obywateli. Jeszcze bardziej jest interesujący poniższy fragment:

Nie są znane przypadki ustawowego utrudniania dostępu do treści propagujących faszystowski lub inny totalitarny ustrój państwa. Nie udało się również prześledzić oświadczeń innych państw w zakresie zwalczania phishingu tą metodą.

który właściwie został zlekceważony. Z kontekstu wnoszę, że autor miał ustosunkować się do zaproponowanego szeregu zagadnień. Trochę szkoda, że osoby wrzucające potem do projektu totalitaryzm i phishing nie przemyślały tego fragmentu.

Podobnie jest z kolejnymi fragmentami:

12. Należy zwrócić uwagę na fakt, że istnieje wiele powszechnie dostępnych rozwiązań omijania blokowania dostępu do zasobów (np. ciągła zmiana adresu IP w sposób automatyczny, ciągła zmiana adresu domenowego). Z tego powodu, każde przyjęte rozwiązania techniczne mogą stać się mało skuteczne.

Podkreślenie moje. A podkreślam żeby pokazać, że tego typu analizy właściwie nie są czytane (lub nie są rozumiane) przez decydentów. Osobie choć trochę znającej techniczne aspekty działania Sieci ten fragment powiedziałby wprost, że taka blokada jest niewykonalna. Jeśli nawet ktoś nie miałby odpowiedniego zasobu wiedzy, to fragment sugeruje konieczność wyjaśnienia tej kwestii.

Zaraz potem mamy ciąg dalszy:

Wymagany jest stały monitoring technik obejścia blokowania treści dokonywany przez podmiot odpowiedzialny za prowadzenie „Rejestru Stron i Usług Niedozwolonych”.

oraz

16. Należy zdawać sobie sprawę, że jawna część Rejestru będzie szczególnie narażona na ataki hakerskie wszystkich możliwych typów (od ataków DoS i DDoS po próby modyfikacji lub usunięcia danych). Przy wprowadzaniu rozwiązań technicznych dotyczących ujawniania danych z Rejestru na podstawie art. 179a ust. 4 należy zapewnić, by pytania kierowane były do repliki Rejestru.
(...)
18. Przy ustalaniu vacatio legis przepisów należy wziąć pod uwagę, że podmiot zobowiązany do prowadzenia Rejestru musi stworzyć nowy – nie istniejący w tej chwili Rejestr oraz obsługujący go system teleinformatyczny. Wymaga to nakładów finansowych i czasu uwzględniającego przepisy budżetowe oraz przepisy o zamówieniach publicznych.
(...)
21. Zespół zwraca uwagę na fakt, że utrudnianie dostępu do stron i usług może – np. w przypadku błędnego wpisu – rodzić odpowiedzialność odszkodowawczą po stronie uprawnionych podmiotów.

Jak na podstawie tych fragmentów ktoś mógł zapisać, że RSiUN nie niesie skutków finansowych dla budżetu, tego nie rozumiem. Nawet metoda sufitowa ma swoje ograniczenia.

--
Piotr "Mikołaj" Mikołajski
http://piotr.mikolajski.net

"Wymagany jest stały

"Wymagany jest stały monitoring technik obejścia blokowania treści dokonywany przez podmiot odpowiedzialny za prowadzenie Rejestru Stron i Usług Niedozwolonych"

Tłumaczenie na ludzki język: należy stworzyć specjalną instytucję (Państwowa Agencja Monitoringu Stron i Usług Niedozwolonych - PAMSiUN), zapewnić jej budżet, etaty, biurka, itp.

Niejawna część Rejestru

Z punktu 9 wynikałoby, że część danych miałaby być niejawna: ciekawe, jakie mogą to być adresy i dlaczego cenzorzy obawialiby się, że niedostępność danego adresu to ich dzieło. Prawdopodobnie, ze względu na możliwości obejścia cenzury, fakt ukrywania nie pozostałby długo tajemnicą - ale może wystarczająco długo, by obywatele nie zdążyli zareagować np. na informację kompromitującą rząd (znajdując z opóźnieniem źródła alternatywne do zablokowanych).

Z drugiej strony, punkt 23 sugerowałby informowanie o blokadzie, co przeczyłoby tajności. Ale między blokadą, a poinformowaniem może upłynąć cenny czas, o którym wyżej.

Kolejna partia drobnych wyjaśnień

Wyjaśniam kilka kolejnych nieporozumień.

1. RSiUN miał być z zasady niejawny. Operatorzy telekomunikacyjni otrzymywaliby zaś (to też przecież forma jawności) jedynie dane niezbędne do zablokowania dostępu, nie zaś całość danych znajdujących się w rejestrze. RSiUN powinien przecież zawierać dane o przebiegu procedury poprzedzającej zablokowanie, tak by sama procedura był transparentna dla kontrolujących.

2. Rekomendacja 23 dotyczy komunikatu przekazywanego przez
przedsiębiorcę telekomunikacyjnego użytkownikowi. Prostymi słowami pisząc: dotyczy komunikatu, na który natknie się internauta wywołując stronę znajdującą się w rejestrze. Zespół zaproponował po prostu, by internautę informować, że dostęp do strony został "odcięty", a nie zostawiać go z którymś z komunikatów, że "serwis jest niedostępny"

3. Informacja dodatkowa - w związku z innymi komentarzami - Ministerstwo Sprawiedliwości było uczestnikiem prac nad RSiUN, ale nie było ich inicjatorem.

Pozdrawiam

Wojciech Wiewiórowski

Ad. jawność Rejestru

VaGla's picture

Rejestr w pierwszej wersji projektu miał być jawny (por. Rejestr Stron i Usług Niedozwolonych w projekcie Ministerstwa Finansów). Zgodnie z projektowanym wówczas art. 179a. ust. 4 w wersji projektu z 13.11.2009 r. (PDF):

4. Rejestr Stron i Usług Niedozwolonych jest jawny.

--
[VaGla] Vigilant Android Generated for Logical Assassination

Słuszna uwaga

Słuszna uwaga - tym razem je się rozpedziłem. Rzeczywiście w pierwszej wersji ustawy rejestr miał być jawny. Tu waszakże zespół roboczy siadał do pracy mając w głowie wyniki rozmów podczas Komitetu Stałego RM. Po tym spotkaniu było jasne, że rejestr nie powinien być jawny.

Istotne jest jednak, że nie miało być podziałuy na rekody jawne i niejawne, lecz co najwyżej na atrybuty jawne i niejawne.

WW

Jawny - niejawny - półjawny

hub_lan's picture

Nie żebym był jakoś szczególnie czepialski ale internauta (oraz ISP) chcący skorzystać z serwisu będącego "na indeksie" powinien otrzymać jasną i konkretną informację z jakiego powodu od kiedy, na czyj wniosek (włącznie z imieniem i nazwiskiem oraz stanowiskiem i nazwą oraz lokalizacją instytucji), przez kogo zaakceptowany (imię i nazwisko sędziego oraz dane sądu i nr sprawy) dopiero tak określona blokada byłaby czymś w miarę uczciwym choć ja jestem przeciwny jakimkolwiek zabawą w cenzurę ze względu na prosty fakt że apetyt rośnie w miarę jedzenia)

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>