We wtorek wejdzie w życie nowelizacja ustawy o działaniach antyterrorystycznych i ustawy o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (tj. Dz.U. z 2024 r. poz. 1684; dalej: ustawa). Jej przepisy służą stosowaniu unijnego rozporządzenia 2021/784 w sprawie zapobiegania rozpowszechnianiu w internecie treści o charakterze terrorystycznym. Jak stwierdzono w jednym z motywów rozporządzenia, obecność w sieci takich materiałów (patrz: infografika) jest katalizatorem radykalizacji, która może prowadzić do aktów terrorystycznych.
Ograniczone apetyty
Funkcję organu właściwego dla realizacji unijnej regulacji ustawa powierza szefowi ABW. Jak pisaliśmy w DGP, będzie on np. mógł w drodze decyzji administracyjnej nakazywać dostawcom usług hostingowych usunięcie z sieci określonych treści – nawet bez zgody sądu.
Ponadto ustawa m.in. zobowiązuje przedsiębiorców telekomunikacyjnych, aby w celu zapobiegania, przeciwdziałania i wykrywania przestępstw o charakterze terrorystycznym lub przestępstwa szpiegostwa oraz ścigania ich sprawców blokowali dostęp do określonych danych lub usług teleinformatycznych. Będzie o tym postanawiał sąd na wniosek szefa ABW złożony po uzyskaniu zgody prokuratora krajowego.
– Ze wszystkich ustaw obejmujących tego rodzaju przepisy ta jest akurat najrozsądniejsza. Apetyty służb zostały w niej ograniczone rozporządzeniem unijnym, a Ministerstwo Spraw Wewnętrznych i Administracji w trakcie prac legislacyjnych uwzględniło uwagi branży – komentuje Tomasz Bukowski, ekspert ds. telekomunikacji z Kancelarii Prawnej Media.
Andrzej Dulka, prezes Polskiej Izby Informatyki i Telekomunikacji (PIIT), zapewnia, że zrzeszeni w PIIT operatorzy są gotowi lub są w trakcie przygotowań do realizacji ustawowych wymagań.
– Pomimo dodatkowych obciążeń (jak liczba wniosków, czas realizacji, kwestie finansowe), z jakimi będą się mierzyć przedsiębiorcy telekomunikacyjni, obowiązki te będą wykonane – podkreśla Dulka. Jak dodaje, dotychczasowa współpraca w kontekście obowiązków na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego powodowała pewne trudności dla ich realizacji (np. czas realizacji, kwestia ich finansowania).
– Jeżeli były kwestie merytoryczne do wyjaśnienia i dyskusji, odbywało się to w ramach dialogu i porozumienia. Liczymy na to, że w przypadku tej ustawy będzie podobnie – podkreśla Dulka.
W trakcie prac nad projektem ustawy MSWiA częściowo uwzględniło uwagi innej organizacji branżowej – Krajowej Izby Komunikacji Ethernetowej (KIKE) – i usunęło przepis nakładający na operatorów także obowiązek usuwania treści.
– Przepisy zostały poprawione i generalnie nie budzą już naszych zastrzeżeń – mówi prezes KIKE Karol Skupień.
Zastrzeżenia budzi natomiast ogólna koncepcja załatwiania takich spraw.
Kilka(naście) ustaw
– Państwo musi mieć mechanizm do blokowania stron internetowych, które promują terroryzm, ale powinien to być mechanizm efektywny – podkreśla Karol Skupień.
Argumentuje, że sposób przyjęty w ustawie będzie pracochłonny i czasochłonny dla samej agencji, a także dla operatorów.
– Problemem jest to, że mamy kolejną ustawę dotyczącą blokowania treści – dodaje Tomasz Bukowski.
Przepisy w tym zakresie zawiera już ustawa – Prawo Komunikacji Elektronicznej (Dz.U. z 2024 r. poz. 1221), ustawa o grach hazardowych (t.j. Dz.U. z 2023 r. poz. 227 ze zm.), ustawa o zwalczaniu nadużyć w komunikacji elektronicznej (Dz.U. z 2023 r. poz. 1703 ze zm.) i kodeks postępowania karnego. Takie rozwiązania znajdą się też w przygotowywanej ustawie o kryptoaktywach oraz w nowelizacji ustawy o świadczeniu usług drogą elektroniczną (będącej wdrożeniem unijnego aktu o usługach cyfrowych – DSA).
Ten problem wskazuje też Andrzej Dulka, zaznaczając, że każda ustawa inaczej podchodzi do sprawy.
– Już dzisiaj polscy dostawcy internetu muszą obsługiwać kilka, a za chwilę być może kilkanaście różnych procedur różnych interesariuszy związanych z blokowaniem dostępu do treści, a każda z nich przewiduje inne zasady blokowania dostępu – stwierdza. Jego zdaniem taki stan rzeczy jest nieefektywny nie tylko dla dostawców internetu, lecz także dla państwa polskiego, którego organy muszą każdorazowo wydawać pieniądze podatników na kolejne nowe procedury i rozwiązania teleinformatyczne, powielające te, które już funkcjonują w innych organach i urzędach. Prezes PIIT uważa, że można to zrobić lepiej.
– Jako branża przygotowaliśmy konkretną koncepcję i architekturę takiego rozwiązania – informuje Dulka.
Szybciej i taniej
– Rynek telekomunikacyjny chce, żeby minister cyfryzacji wymusił na pozostałych wprowadzenie wspólnego, jednolitego systemu. Mógłby to zrobić na podstawie regulacji wdrażającej DSA – mówi Tomasz Bukowski.
Zwolennikiem jednolitego mechanizmu jest też Karol Skupień. Jego zdaniem można się wzorować na rejestrze domen zakazanych (tj. domen służących do oferowania gier hazardowych niezgodnie z ustawą) prowadzonym przez Ministerstwo Finansów.
– Operatorzy wprowadzili techniczną możliwość blokowania wszystkiego, co jest na tej liście, i nikt nie musi się zajmować pojedynczymi decyzjami – wyjaśnia prezes KIKE.
Zaznacza, że jeden wspólny rejestr dla wszystkich służb i wszystkich operatorów zapewni możliwość szybkiej reakcji. Będzie to też droga tańsza i efektywniejsza.
Andrzej Dulka wśród zalet spójnego mechanizmu wymienia też transparentność: informacje ze wszystkich źródeł o wszystkich blokadach byłyby dostępne w jednym uporządkowanym na poziomie krajowym miejscu.
– Rozumiemy, że poszczególne organy i urzędy chcą zachować autonomię działania w tym zakresie i nasza propozycja szanuje tę potrzebę – zaznacza Dulka.
Jak wyjaśnia, najpierw dany organ identyfikowałby problem i podejmował decyzję o zablokowaniu dostępu do konkretnego zasobu. Następnie informacja na ten temat trafiałaby do jednego systemu informatycznego, który agregowałby takie informacje ze wszystkich uprawnionych źródeł i przekazywał automatycznie do wszystkich dostawców internetu.
Karol Skupień zwraca ponadto uwagę, że w obecnym kształcie rozwiązania ustawy generują ryzyko dla przedsiębiorców telekomunikacyjnych.
– Operator będzie narażany na to, że albo zablokuje za mało, co może skutkować karą od ABW, albo za dużo – i roszczenia zgłosi wtedy właściciel strony. Zautomatyzowany mechanizm zdjąłby z nas to ryzyko – mówi Skupień. ©℗