bezpieczeństwo

Jak informowałem niedawno: w Sejmie znajduje się projekt nowelizacji Prawa telekomunikacyjnego. Dotyczy on przechowywania przez operatorów sieci telekomunikacyjnych przez 5 lat danych transmisyjnych dotyczących abonentów. Projekt jest już po drugim czytaniu, a ostateczne głosowanie na razie odroczono (był taki plan, który zakładał, że tę retencję przyjmie się gdzieś w okolicy kontrowersyjnego projektu zmiany ordynacji wyborczej). Głosowanie odroczono, ale nie odłożono projektu. Prace nad nim trwają nadal.

W jaki sposób uprawdopodobnić, że coś, co się stało w Sieci - rzeczywiście się stało? Jeśli chodzi o zbieranie śladów cyfrowych rozważa się w charakterze panaceum retencję danych telekomunikacyjnych (chociaż trwa spór o to kto i dlaczego może obywateli kontrolować). A co w stosunkach cywilnoprawnych? Jednym z pomysłów było to, by notariusze mogli poświadczać, iż w danym czasie i pod określonym adresem internetowym można było zobaczyć określoną treść. Notariusze jednak nie czują się uprawnieni do takiego poświadczania. Poświadczenie takie zresztą nie zawsze będzie dowodzić czegokolwiek.

Mieszkaniec amerykańskiego stanu Texas, który surfował w internecie, przyglądając się transmisjom z kamer internetowych, zauważył włamywaczy, którzy w Wielkiej Brytanii, w Liverpool (a konkretnie przy Mathew Street), włamywali się do sportowego sklepu. Internauta skontaktował się telefonicznie z policją, a funkcjonariusze zatrzymali trzech sprawców włamania na gorącym uczynku.

Sąd orzekł, że praktyki rządu USA w zakresie inwigilacji obywateli są niezgodne z prawem USA. Chodzi o sprawę zainicjowaną przez organizację the American Civil Liberties Union przeciwko działaniom Narodowej Agencji Bezpieczeństwa. Ta sprawa jeszcze się nie kończy - Departament Sprawiedliwości zapowiedział apelację. O nieco tylko podobnym i równoległym postępowaniu pisałem w tekście Sprawa EFF przeciwko AT&T - bitwa o prywatność obywateli i tak jak w tamtym tekście - również tym razem zamieszczam mały komentarz dotyczący europejskiej dyrektywy o retencji danych telekomunikacyjnych oraz zgodności jej postanowień z niemieckim porządkiem prawnym.

Niedawno pisałem o ugodzie sądowej w sprawie "fałszywych kliknięć" w reklamy prezentowane przez Google w ramach programu partnerskiego AdSense (chodziło o ugodę, którą Google zaproponował Lane's Gifts and Collectibles LLC). Zamieszanie dotyczące kliknięć stało się przyczyną opublikowania szeregu raportów dotyczących praktyk Google. Teraz Google wydało własny raport, gdzie wskazuje, iż krytycy posługiwali się nieprawidłową metodologią badań, a skala fałszywych kliknięć nie jest taka duża jak to przedstawiali krytycy.

Departament Stanu USA rozpoczął wydawanie nowych paszportów, zawierających chip RFID. Eksperci od bezpieczeństwa ostrzegają jednak, że taki system może być narażany na ataki. Na stronie naszego, rodzimego MSWiA można przeczytać, że "paszporty biometryczne wchodzą w życie 28 sierpnia 2006 roku". To taki skrót myślowy, bo przecież paszport w życie nie wchodzi, a jedynie przepisy, które pozwalają na jego wydanie. Pogrzebałem trochę w poszukiwaniu aktów prawnych związanych z zagadnieniem. Również w tym przypadku jawi się nam dość zagmatwany system prawny, na końcu którego trafiamy do "technicznego" standardu jakiejś organizacji.

Od jakiegoś czasu zastanawiam się nad tym, co by się stało, gdyby wydane na podstawie ustawy "o informatyzacji" lub na podstawie ustawy o podpisie elektronicznym rozporządzenia "techniczne" trafiły do Trybunału Konstytucyjnego, który miałby ocenić ich zgodność lub niezgodność z postanowieniami Konstytucji. Zastanawiam się też nad zasadą "neutralności technologicznej państwa", którą winny - w mojej opinii - takie rozporządzenia realizować. Minister zdrowia przedstawił projekt rozporządzenia związanego z dokumentacją medyczną, co stało się po wyroku TK uznającym niekonstytucyjność niektórych przepisów rozporządzeń. Minister zdrowia projektuje dziś przepisy dotyczące "dokumentacji prowadzonej w formie elektronicznej", ale jak się to ma do innych przepisów związanych z informatyzacją?

16 sierpnia ma ruszyć pierwsza faza projektu e-POLTAX w ramach informatyzacji administracji podatkowej. Ministerstwo Finansów wprowadza nową formę kontaktu z podatnikami - przyjmowanie i obsługę deklaracji i innych dokumentów podatkowych w formie elektronicznej. Na początku możliwość przesyłania deklaracji będą miały największe firmy. Minister podpisał stosowne rozporządzenia.

Dokument elektroniczny definiowany jest m.in. przez określenie jego struktury. Na mocy KPA podania można składać pocztą elektroniczną, ale nie oznacza to, że każde takie podanie musi być składane „w formie dokumentu elektronicznego”, ergo istnieją takie podania, które można złożyć pocztą elektroniczną, ale nie trzeba podpisywać ich bezpiecznym podpisem elektronicznym. Co więcej – istnieją takie podania składane pocztą elektroniczną, które administracja powinna przyjąć, chociażby były opatrzone takim podpisem. Rozporządzenia dotyczącego struktury pism nadal nie ma, a dopiero przez zastosowanie tej struktury kreuje się "formę dokumentu elektronicznego". Nowela ustawy o podpisie elektronicznym odsuwa w czasie jedynie "umożliwienie" wnoszenie podań w takiej formie. Nie został odroczony obowiązek umożliwienia wnoszenia wszelkich podań pocztą elektroniczną, w szczególności takich podań, które podpisane są bezpiecznym podpisem elektronicznym. On istnieje nawet teraz.

Jako się rzekło w jednym z poprzednich doniesień - Senat przyjął w nowelę ustawy o podpisie elektronicznym. Prezydent pewnie szybko ją podpisze, jednak pojawia się kwestia "elektronicznej skrzynki podawczej", która wynika z rozporządzenia Prezesa Rady Ministrów, wydanego na podstawie ustawy o informatyzacji. Administracja publiczna nie jest wolna od zobowiązań wynikających z przepisów - z dniem 17 sierpnia podmioty publiczne winny dysponować dość drogim rozwiązaniem HSM, tj. Hardware Security Module w odpowiednim standardzie certyfikacji bezpieczeństwa...