Polemika. Prof. Marek Chmaj: Prawdziwa cnota krytyk się nie boi

Adobe Stock

Normy Konstytucji wydają się nie przeszkadzać rządzącym tak w procesie legislacyjnym, jak i w projektowaniu przepisów nowelizacji – pisze prof. dr hab. Marek Chmaj w odpowiedzi Robertowi Kośli, dyrektorowi departamentu cyberbezpieczeństwa w Kancelarii Prezesa Rady Ministrów.

Po zapoznaniu się z komentarzem Pana Robert Kośli, dyrektora departamentu cyberbezpieczeństwa Kancelarii Prezesa Rady Ministrów na temat publikacji zmienionej wersji nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, nie mam wątpliwości, że Rząd po raz kolejny dąży do zmiany praw i wolności obywateli, w tym przypadku podmiotów z branży IT, „pod osłoną nocy”. Normy Konstytucji wydają się nie przeszkadzać rządzącym tak w procesie legislacyjnym, jak i w projektowaniu przepisów nowelizacji.

CZYTAJ TAKŻE: Robert Kośla, Kancelaria Premiera: Nie chcemy nikogo wykluczać z rynku 5G

Na wstępie podkreślam, że każda zmiana prawa wymaga konsultacji społecznych. Prawo do zajęcie stanowiska w procesie ustawodawczym stanowi urzeczywistnienie wpływu społeczeństwa na porządek prawny.

Do styczniowej wersji projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa wprowadzono szereg zmian. Przedstawiciel Kancelarii Premiera przyznaje, że wprowadzanie zmian do projektu zajęło sporo czasu. Dodano m.in. kompetencje dla ekspertów prowadzących analizy cyberzagrożeń i przewidujących ich potencjalny wpływ na bezpieczeństwo usług zapewnianych przez podmioty krajowego systemu cyberbezpieczeństwa. Eksperci będą badali bezpieczeństwo łańcucha dostaw produktów, usług i procesów teleinformatycznych wykorzystywanych w krajowym systemie cyberbezpieczeństwa, w szczególności przez operatorów usług kluczowych.

Pan Dyrektor przyznaje, że Rząd nie zamierza pytać branży o opinię na temat szeregu nowych przepisów dodanych do projektu. Czyżby monopol na mądrość? Otóż nie. Uzasadnienie zaniechania przedłożenia projektu do konsultacji jest takie, że z góry wiadomo, że opinie będą na pewno negatywne, dlatego nie ma sensu tego robić. Do tej pory myślałem, wzorem mistrza Krasickiego, że „prawdziwa cnota krytyk się nie boi”. Przedstawiciel Kancelarii Premiera jednak inaczej uzasadnia brak zainteresowania opiniami specjalistów: „mamy doświadczenia z wprowadzania rozporządzenia z art. 175d Prawa telekomunikacyjnego. Przeprowadziliśmy wtedy trzy serie konsultacji publicznych i de facto nie doprowadziły one do polepszenia tego dokumentu. Zawsze któraś ze stron była niezadowolona. A przecież treść rozporządzenia była bardzo krótka – zawierała 3 paragrafy rozpisane na 2 stronach”.

Słowa ujęte w powyższym cytacie są nadużyciem. Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa nowelizuje kilkadziesiąt artykułów, a jego treść wraz z uzasadnieniem zajmuje ponad 100 stron. Z tego względu tak gruntowna zmiana zasad działania podmiotów z branży IT absolutnie powinna być poddana konsultacjom.

W polskim porządku ustrojowym konsultacje społeczne w procesie prawotwórczym stanowią rzeczywistą formę komunikacji pomiędzy ustawodawcą a społeczeństwem. Nawiązuje do nich ujęte w Preambule Konstytucji sformułowanie o „dialogu społecznym” jako jednym z fundamentów, na którym oparte są prawa podstawowe Rzeczypospolitej Polskiej oraz art. 2 Konstytucji i wynikająca z art. 2 Konstytucji zasada przyzwoitej legislacji. Zasada ta ma na celu wskazanie reguł, którymi winien kierować się ustawodawca w procesie legislacyjnym, tak by tworzone prawo było racjonalne i stanowiło pełną ochronę jego adresatów.

Faktu, że rządzący odmawiając społeczeństwu prawa do weryfikacji wprowadzonych zmian legislacyjnych nie można tłumaczyć inaczej, niż jako usilne starania odłączenia, w demokratycznym państwie, demos (z grec. lud) od kratos (z grec. władza).

Rekomendacje wspólnotowe dotyczące ujednolicenia zasad bezpieczeństwa sieci telekomunikacyjnych 5G nie stoją na przeszkodzie przeprowadzeniu krajowej nowelizacji w sposób zgodny z zasadą przyzwoitej legislacji.

Merytoryczna analiza projektowanych przepisów prowadzi do wniosku, że trudno dopatrzeć się w nich sprawiedliwych i bezstronnych zasad weryfikacji dostawców sprzętu i oprogramowania. Przypominam, że zgodnie z przepisami projektu, postępowanie kontrolne, wobec dostawców, będzie prowadzone przez organ państwowy – Kolegium – jednostronnie, bez udziału kontrolowanego. Jeśli postępowanie kończy się uznaniem kontrolowanego za dostawcę ryzykownego, bez względu na wynik postępowania odwoławczego, ma on natychmiastowy obowiązek wycofania z rynku produktów i usług dostarczanych nie później niż 7 lat od dnia opublikowania informacji o decyzji oraz zakaz wprowadzania do użytku produktów, usług.

Pan Dyrektor twierdzi, że „przepisy nie mają charakteru dyskryminującego”, choć analiza prowadzona przez Kolegium ds. Cyberbezpieczeństwa przed wydaniem decyzji administracyjnej przez ministra właściwego do spraw informatyzacji będzie uwzględniała zarówno kwestie techniczne, jak i nietechniczne związane z ryzykiem dla bezpieczeństwa narodowego, w kontekście konkretnych procesów, produktów i usług.

Z literalnego brzmienia projektu wynika, że opinia Kolegium zawiera analizę prawdopodobieństwa z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego, z uwzględnieniem m.in. stopnia i rodzaju powiązań pomiędzy dostawcą sprzętu lub oprogramowania i tym państwem, b) prawodawstwa oraz stosowania prawa w zakresie ochrony danych osobowych, zwłaszcza tam gdzie nie ma porozumień w zakresie ochrony danych między UE i danym państwem, c) struktury własnościowej dostawcy sprzętu lub oprogramowania, d) zdolności ingerencji tego państwa w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania (por art. 66a ust. 6 pkt 2 zmienianej ustawy o krajowym systemie cyberbezpieczeństwa).

Kryteria oceny dostawców na ryzykownych i nieryzykowanych bezwzględnie powinny być oparte na przesłankach technicznych takich jak parametry i funkcjonalności oferowanego sprzętu. Pozostałe nietechniczne kryteria oceny, tj. np. kraj pochodzenia, to wyłącznie furtka do dyskryminacji, a nie przejaw troski o cyberbezpieczeństwo krajowe.

To nie tylko przykre, ale bardzo niebezpieczne, że wysoki urzędnik państwowy, osoba która winna spełniać najwyższe standardy, wykazuje taką ignorancję. Nie chciałbym podejrzewać złej woli, ale posługując się jeszcze jednym cytatem z Krasińskiego wskażę, że „cnota, nie odzież, czyni zakonnika”.

Prof. dr hab. Marek Chmaj

Tagi:

Mogą Ci się również spodobać

Polskie oprogramowanie dla Ubera i Apple

Software Plant jest już obecny w 130 krajach, a z jego oprogramowania korzystają tacy ...

Netflix zrobi serial na podstawie „Stu lat samotności” Gabriela Garcíi Marqueza

Zmarły pięć lat temu pisarz konsekwentnie odrzucał propozycje ekranizacji „Stu lat samotności”, obawiając się, ...

Klabater zagrał na giełdzie

Producent i wydawca gier wszedł dziś na NewConnect. Chętnych do zakupu jego akcji jest ...

11 bit studios wierzy we „Frostpunka”. Kolejny ma być „Projekt 8”

Rok 2020 będzie dla 11 bit studios pracowity. Firma rekrutuje i przeprowadza się do ...

25 lat NASK, czyli Internet w centrum uwagi

W czwartek odbędzie się tegoroczna edycja Forum Zarządzania Internetem. Podczas konferencji poruszonych zostanie szereg ...

Powstał samochód-odkurzacz. Przewiezie i oczyści

Niezwykły pojazd może wejść do produkcji już w 2023 roku. Fani przygód Tytusa, Romka ...