W projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa są zapisy pozwalające na odłączenie serwisów internetowych na polecenie premiera. „Dziennik Gazeta Prawna” informując o tych przepisach określił je „furtką do wyłączenia Internetu”. Eksperci wytykają jednak pewne nieprawidłowości, jak zbyt ogólną definicję zagrożeń pozwalających takie rozwiązanie zastosować. – Znacznie lepszym rozwiązaniem jest albo bardzo ścisły, konkretny katalog zagrożeń, albo brak cenzury – mówi prof. Dariusz Jemielniak z Akademii Leona Koźmińskiego.
W „Dzienniku Gazecie Prawnej” ukazał się tekst „Nowelizacja ustawy o cyberbezpieczeństwie: Furtka do wyłączenia Internetu”. Jego autorka, Elżbieta Rutkowska, opisały projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Pojawia się w nim tzw. polecenie zabezpieczające, „jakie minister właściwy do spraw informatyzacji – te kompetencje są obecnie w gestii premiera – może wydać m.in. operatorom telekomunikacyjnym w przypadku wystąpienia incydentu krytycznego”.
„Polecenie jest decyzją administracyjną i może obowiązywać dwa lata. Wymaga od firm podjęcia oczekiwanych przez ministra działań – w tym zakazania połączeń z określonymi adresami IP lub stronami internetowymi” – pisze „DGP”. Polecenie takie można wydać bez uzasadnienia, „jeżeli wymagają tego względy obronności lub bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego”.
Wydział Promocji Polityki Cyfrowej KPRM poinformował, że celem tych przepisów „jest pilne podjęcie skutecznych działań w przypadku wystąpienia incydentu krytycznego”, który skutkuje „znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi”.
Redakcja zapytała czy nowe przepisy będą wykorzystywane do wyłączania serwisów społecznościowych, aplikacji i stron internetowych bez uzasadnienia? KPRM odpowiedział, że zakres stosowania nowego narzędzia „nie uwzględnia wyłączania serwisów społecznościowych, publicznie dostępnych aplikacji czy stron internetowych”. Dodał także, że każda decyzja musi być poprzedzona analizą, a w przypadku polecenia zabezpieczającego będzie obowiązywała procedura odwoławcza wynikająca z k.p.a.
„Brak konkretnych zapisów grozi autorytaryzmem”
Prof. Dariusz Jemielniak z Akademii Leona Koźmińskiego ma poważne obawy, czy tego rodzaju zapis nie będzie prowadził do nadużyć. – Natychmiastowa wykonalność powoduje, że nie ma procedury odwoławczej, podczas której serwis funkcjonuje normalnie. Tego typu podejście jest radykalne – w zasadzie jedyne sensowne zastosowania jakie można sobie wyobrazić, to względem organizacji terrorystycznych, czy względem serwisów dystrybuujących treści pedofilskie – uważa prof. prof. Dariusz Jemielniak .
– Tymczasem kategorie „względów obronności lub bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego” są niezwykle luźno zdefiniowane Łatwo sobie wyobrazić np. że strony Strajku Kobiet czy Parady Równości mogłyby być zaklasyfikowane jako stanowiące zagrożenie porządku publicznego. Tego rodzaju podejście jest niebezpieczne i grozi autorytaryzmem. Sądzę, że znacznie lepszym rozwiązaniem jest albo bardzo ścisły, konkretny katalog zagrożeń, albo brak cenzury – podkreśla Jemielniak. kolei dr Maciej Kawecki, dziekan Wydziału Innowacji i Przedsiębiorczości Wyższej Szkoły Bankowej w Warszawie, ekspert ds. nowych technologii i polityki prywatności, wytyka w zapisach jeden istotny brak. – Rozumiem intencję, która wymaga nadania takiej decyzji rygoru natychmiastowej wykonalności, bo chodzi o wyeliminowanie ryzyka niepowetowanych strat. I dokładnie takiego zapisu mi brakuje. Wskazania, że warunkiem wydania decyzji jest ryzyko niepowetowanych negatywnych skutków dla bezpieczeństwa publicznego – podkreśla dr Kawecki. – Chciałbym jednak wskazać, że podobne do projektowanego rozwiązania już w Polsce istnieje. Wprowadziła je ustawa o ochronie danych osobowych z 10 maja 2018 r. Ustawa daje prezesowi UODO prawo do natychmiastowego nakazania zaprzestania przetwarzania przez serwis danych osobowych, jeżeli z ich dalszym przetwarzaniem wiąże się duże ryzyko strat. Od tego postanowienia przysługuje środek odwoławczy, ale też jest natychmiastowo wykonalne – zauważa.
– Dla większości serwisów internetowych brak możliwości przetwarzania danych oznacza koniec ich działalności i środek wtedy jest niemal tożsamy z tym projektowanym. Skoro więc ochrona prywatności uzasadnia podjęcie takich działań, tym bardziej powinien je uzasadniać interes ogółu jakim jest bezpieczeństwo państwa. Ważne, by instrument ten nigdy nie był narzędziem walki politycznej i tutaj konieczne jest wprowadzenie mechanizmów nadzoru nad jego wykorzystywaniem przez administrację rządową – kończy Kawecki.
Do blokowania dostępu do internetu i cenzurowanie publikowanych w sieci treści doszło m.in. na Białorusi bezpośrednio po wyborach prezydenckich przeprowadzonych 9 sierpnia. Białoruskie służby starały się poprzez blokadę uniemożliwić koordynację akcji protestacyjnych w mediach społecznościowych.
W połowie stycznia kierownictwo resortu sprawiedliwości przedstawiło projekt ustawy o wolności słowa, która powoła do życia Radę Wolności Słowa. Ten organ będzie rozpatrywał skargi polskich użytkowników na platformy społecznościowe. Za naruszenia prawa Rada ma nakładać kary wynoszące od 50 tys. zł do 50 mln zł.