Polemika. Prof. Marek Chmaj: Prawdziwa cnota krytyk się nie boi

Adobe Stock

Normy Konstytucji wydają się nie przeszkadzać rządzącym tak w procesie legislacyjnym, jak i w projektowaniu przepisów nowelizacji – pisze prof. dr hab. Marek Chmaj w odpowiedzi Robertowi Kośli, dyrektorowi departamentu cyberbezpieczeństwa w Kancelarii Prezesa Rady Ministrów.

Po zapoznaniu się z komentarzem Pana Robert Kośli, dyrektora departamentu cyberbezpieczeństwa Kancelarii Prezesa Rady Ministrów na temat publikacji zmienionej wersji nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, nie mam wątpliwości, że Rząd po raz kolejny dąży do zmiany praw i wolności obywateli, w tym przypadku podmiotów z branży IT, „pod osłoną nocy”. Normy Konstytucji wydają się nie przeszkadzać rządzącym tak w procesie legislacyjnym, jak i w projektowaniu przepisów nowelizacji.

CZYTAJ TAKŻE: Robert Kośla, Kancelaria Premiera: Nie chcemy nikogo wykluczać z rynku 5G

Na wstępie podkreślam, że każda zmiana prawa wymaga konsultacji społecznych. Prawo do zajęcie stanowiska w procesie ustawodawczym stanowi urzeczywistnienie wpływu społeczeństwa na porządek prawny.

Do styczniowej wersji projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa wprowadzono szereg zmian. Przedstawiciel Kancelarii Premiera przyznaje, że wprowadzanie zmian do projektu zajęło sporo czasu. Dodano m.in. kompetencje dla ekspertów prowadzących analizy cyberzagrożeń i przewidujących ich potencjalny wpływ na bezpieczeństwo usług zapewnianych przez podmioty krajowego systemu cyberbezpieczeństwa. Eksperci będą badali bezpieczeństwo łańcucha dostaw produktów, usług i procesów teleinformatycznych wykorzystywanych w krajowym systemie cyberbezpieczeństwa, w szczególności przez operatorów usług kluczowych.

Pan Dyrektor przyznaje, że Rząd nie zamierza pytać branży o opinię na temat szeregu nowych przepisów dodanych do projektu. Czyżby monopol na mądrość? Otóż nie. Uzasadnienie zaniechania przedłożenia projektu do konsultacji jest takie, że z góry wiadomo, że opinie będą na pewno negatywne, dlatego nie ma sensu tego robić. Do tej pory myślałem, wzorem mistrza Krasickiego, że „prawdziwa cnota krytyk się nie boi”. Przedstawiciel Kancelarii Premiera jednak inaczej uzasadnia brak zainteresowania opiniami specjalistów: „mamy doświadczenia z wprowadzania rozporządzenia z art. 175d Prawa telekomunikacyjnego. Przeprowadziliśmy wtedy trzy serie konsultacji publicznych i de facto nie doprowadziły one do polepszenia tego dokumentu. Zawsze któraś ze stron była niezadowolona. A przecież treść rozporządzenia była bardzo krótka – zawierała 3 paragrafy rozpisane na 2 stronach”.

Słowa ujęte w powyższym cytacie są nadużyciem. Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa nowelizuje kilkadziesiąt artykułów, a jego treść wraz z uzasadnieniem zajmuje ponad 100 stron. Z tego względu tak gruntowna zmiana zasad działania podmiotów z branży IT absolutnie powinna być poddana konsultacjom.

W polskim porządku ustrojowym konsultacje społeczne w procesie prawotwórczym stanowią rzeczywistą formę komunikacji pomiędzy ustawodawcą a społeczeństwem. Nawiązuje do nich ujęte w Preambule Konstytucji sformułowanie o „dialogu społecznym” jako jednym z fundamentów, na którym oparte są prawa podstawowe Rzeczypospolitej Polskiej oraz art. 2 Konstytucji i wynikająca z art. 2 Konstytucji zasada przyzwoitej legislacji. Zasada ta ma na celu wskazanie reguł, którymi winien kierować się ustawodawca w procesie legislacyjnym, tak by tworzone prawo było racjonalne i stanowiło pełną ochronę jego adresatów.

Faktu, że rządzący odmawiając społeczeństwu prawa do weryfikacji wprowadzonych zmian legislacyjnych nie można tłumaczyć inaczej, niż jako usilne starania odłączenia, w demokratycznym państwie, demos (z grec. lud) od kratos (z grec. władza).

Rekomendacje wspólnotowe dotyczące ujednolicenia zasad bezpieczeństwa sieci telekomunikacyjnych 5G nie stoją na przeszkodzie przeprowadzeniu krajowej nowelizacji w sposób zgodny z zasadą przyzwoitej legislacji.

Merytoryczna analiza projektowanych przepisów prowadzi do wniosku, że trudno dopatrzeć się w nich sprawiedliwych i bezstronnych zasad weryfikacji dostawców sprzętu i oprogramowania. Przypominam, że zgodnie z przepisami projektu, postępowanie kontrolne, wobec dostawców, będzie prowadzone przez organ państwowy – Kolegium – jednostronnie, bez udziału kontrolowanego. Jeśli postępowanie kończy się uznaniem kontrolowanego za dostawcę ryzykownego, bez względu na wynik postępowania odwoławczego, ma on natychmiastowy obowiązek wycofania z rynku produktów i usług dostarczanych nie później niż 7 lat od dnia opublikowania informacji o decyzji oraz zakaz wprowadzania do użytku produktów, usług.

Pan Dyrektor twierdzi, że „przepisy nie mają charakteru dyskryminującego”, choć analiza prowadzona przez Kolegium ds. Cyberbezpieczeństwa przed wydaniem decyzji administracyjnej przez ministra właściwego do spraw informatyzacji będzie uwzględniała zarówno kwestie techniczne, jak i nietechniczne związane z ryzykiem dla bezpieczeństwa narodowego, w kontekście konkretnych procesów, produktów i usług.

Z literalnego brzmienia projektu wynika, że opinia Kolegium zawiera analizę prawdopodobieństwa z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego, z uwzględnieniem m.in. stopnia i rodzaju powiązań pomiędzy dostawcą sprzętu lub oprogramowania i tym państwem, b) prawodawstwa oraz stosowania prawa w zakresie ochrony danych osobowych, zwłaszcza tam gdzie nie ma porozumień w zakresie ochrony danych między UE i danym państwem, c) struktury własnościowej dostawcy sprzętu lub oprogramowania, d) zdolności ingerencji tego państwa w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania (por art. 66a ust. 6 pkt 2 zmienianej ustawy o krajowym systemie cyberbezpieczeństwa).

Kryteria oceny dostawców na ryzykownych i nieryzykowanych bezwzględnie powinny być oparte na przesłankach technicznych takich jak parametry i funkcjonalności oferowanego sprzętu. Pozostałe nietechniczne kryteria oceny, tj. np. kraj pochodzenia, to wyłącznie furtka do dyskryminacji, a nie przejaw troski o cyberbezpieczeństwo krajowe.

To nie tylko przykre, ale bardzo niebezpieczne, że wysoki urzędnik państwowy, osoba która winna spełniać najwyższe standardy, wykazuje taką ignorancję. Nie chciałbym podejrzewać złej woli, ale posługując się jeszcze jednym cytatem z Krasińskiego wskażę, że „cnota, nie odzież, czyni zakonnika”.

Prof. dr hab. Marek Chmaj

Tagi:

Mogą Ci się również spodobać

Samurai przemówił po polsku. Mieczem w mowę nienawiści

System do walki z mową nienawiści i przemocą w internecie polska firma najpierw zbudowała ...

Świat wiedzy w Leopoldinie

Na Uniwersytecie Wrocławskim powstaje wyjątkowa platforma do udostępniania zasobów wiedzy. Leopoldina Online to system, ...

Cyberpunk nie zraził inwestorów. People Can Fly nieźle poszybowało

PCF był w piątek najmocniej rosnącą spółką na warszawskiej giełdzie. Przed południem jej kurs ...

Zaskakujący wynik rankingu. Najszybsi i najskuteczniejsi hakerzy

Sponsorowani przez Rosję hakerzy są dużo szybsi niż inne tego typu grupy – twierdzi ...

Japończycy wymyślili dmuchany skuter. Mieści się w plecaku

Pandemia koronawirusa skutecznie zniechęca ludzi na całym świecie do komunikacji miejskiej. Wiele osób przesiada ...

Sztuczna inteligencja wymyśliła pierwszy lek

Pierwsza na świecie cząsteczka leku wymyślona przez sztuczna inteligencję trafi do badań na ludziach. ...