Opinia Polskiej Izby Informatyki i Telekomunikacji

Opinia Polskiej Izby Informatyki i Telekomunikacji
w sprawie „Założeń do Ustawy o SPAM i SPYWARE”
przygotowanych przez Ministerstwo Transportu i Budownictwa
Polska Izba Informatyki i Telekomunikacji [PIIT] po pierwsze proponuje ustalić nazwę
ustawy w języku polskim. Przykładowo może to być:
Ustawa
o zapobieganiu nieakceptowanej poczcie elektronicznej
oraz szkodliwego oprogramowania”
Przy okazji warto może poszukać polskich nazw na oprogramowanie „malware”, „spyware”,
„adware”, „phishing” itp. przy czym na przykład można zaakceptować po polsku pojęcie
„spam”, „spamować”, „spim”, „spit” oraz „haker” i „kraker”. Jednym z obowiązkow
ustawodawcy jest w porozumieniu z Radą Języka Polskiego ustalenie słownika polskich pojęć.
***
PIIT po zapoznaniu się z treścią założeń do tej ustawy [dalej nazywanej „spamowej”]
stwierdza co następuje:
1. Przedmiotowy dokument nie uzasadnia wystarczająco potrzeby opracowania specjalnej
ustawy spamowej, gdyż:
a. Nie przedstawia żadnej analizy rzeczywistej skali występowania w Polsce tego
typu przypadków, których źródłem jest działanie osoby fizycznej lub podmiotu
znajdującego się na terenie Polski lub Unii Europejskiej.
b. Nie przedstawia żadnej analizy poziomu strat bezpośrednich i pośrednich
wynikających z tego typu przypadków dla osób fizycznych, podmiotów
gospodarczych oraz gospodarki kraju.
c. Nie przedstawia żadnej – nawet szacunkowej analizy kosztów koniecznych do
poniesienia przy wdrożeniu tego typu ustawy przez osoby fizyczne, podmioty
gospodarcze (szczególnie dostawców usług internetowych) oraz administrację
państwową.
d. Nie precyzuje rzeczywistych odstępstw polskiego prawodawstwa od zapisów
dyrektyw unijnych, wspominając tylko, że takie niewielkie różnice występują.
e. Przedstawia wykaz istniejących zapisów prawnych pozwalających ścigać i karać
rzeczywiste przestępstwa popełniane z wykorzystaniem internetu.
2. Przedstawione we wnioskach propozycje regulacji należy ocenić negatywnie, gdyż:
a. [z tekstu założeń] doprecyzowanie definicji spamu, przy jednoczesnej potrzebie dyskusji
nad rozszerzeniem zakresu przedmiotowego na zjawiska inne niż informacje handlowe,
Nie negując potrzeby stałego analizowania zakresu definicji spamu, poszerzanie
jej na inne zjawiska niż informacje handlowe nie wydaje się obecnie celowe, gdyż
ściganie i karanie za przesyłanie informacji o charakterze politycznym, religijnym,
oraz za tzw. łańcuszki szczęścia etc. będzie i trudne i mało akceptowalne
społecznie. Warto również rozpatrzyć propozycje dotyczące wprowadzenia
regulacji typu only opt-in, czyli takiej która wprowadza możliwość rozsyłania
Opinia PIIT do Założeń Ustawy spamowej (MTiB)
1
informacji tylko do tych, którzy wcześniej jasno wyrazili chęć otrzymywania
takiej informacji. Warto zwrócić uwagę, że przy dzisiejszym prawodawstwie
spamem stały się de facto również pytania o możliwość dostarczenia informacji
handlowej. Sprecyzowanie definicji spamu będzie trudnym zadaniem, gdyż w
wielu przypadkach może to zależeć od kontekstu oraz odbiorcy, a także
stosowanych rozwiązań technicznych. Dyskusyjne jest zapisane w dokumencie
możliwości uznania za spam informacji przesyłanych na czatach internetowych,
forach dyskusyjnych, czy w komunikatorach. Powstaje bowiem pytanie kto będzie
oceniać czy dana informacja jest spamem, czy też tylko próbą nawiązania kontaktu?
b. zmiana kwalifikacji czynu z wykroczenia na regulacje karno-administracyjne (lub
pozostawienie czynu jako wykroczenie),
Proponowanie natychmiastowej egzekucji w postaci mandatu może w wielu
przypadkach prowadzić do nieuzasadnionego ukarania osoby lub podmiotu, które
nie są bezpośrednimi sprawcami takiego czynu, gdyż wykrycie rzeczywistej
przyczyny powstania danego szkodliwego zjawiska może wymagać bardzo
specjalistycznej wiedzy i działania, a wskazany sprawca często nie będzie miał
technicznych możliwości wykazania swojej niewinności. Warto również zbadać
konsekwencje propozycji wszczynania postępowania z urzędu. Jeśli taka
możliwość stałaby się również obowiązkiem to rodzą się uzasadnione obawy, że
masowość zjawiska może doprowadzić do administracyjnego paraliżu instytucji
odpowiedzialnej za wszczynanie takich postępowań. Warto też przypomnieć, że w
ogólnie obowiązujące w Kodeksie Cywilnym, Kodeksie Karnym, Kodeksie
postępowania administracyjnego istnieją odpowiednie procedury oraz obowiązują
drastyczne kary nawet do 3 lat pozbawienia wolności (art. 288 § 1 Kodeksu
karnego) za tego typu praktyki.
c. rozszerzenie zakresu podmiotowego na podmioty, na zlecenie których prowadzone są tego
typu działania,
W tym przypadku jest to uzasadnione, ale już obecnie w polskim prawodawstwie
zawsze jest możliwe wskazanie i ukaranie współsprawcy.
d. zdefiniowanie zjawiska tzw. pop-up windows i uznanie ich w świetle ustawy za czyn
nieuczciwej konkurencji (reklama uciążliwa) w rozumieniu ustawy o zwalczaniu
nieuczciwej konkurencji,
Znacząca część rozwoju internetu jest finansowana z reklam (podobnie jak
komercyjna telewizja i prasa), a zjawisko „pop-up” jest tylko jedną z form takiej
reklamy podobnie jak 15 minut reklamowej przerwy w trakcie filmu w TV, czy
całkowicie obklejony reklamą tramwaj. Stąd też szczególne potraktowanie tego
typu formy reklamy wydaje się nieuzasadnione. Dodatkowo tego typu zakazy
stawiałyby w ewidentnie gorszej pozycji polskiego przedsiębiorcę w stosunku do
przedsiębiorcy zagranicznego, sprawiając pogorszenie jego konkurencyjności.
Rynek doczekał się skutecznych mechanizmów blokujących tego typu reklamy, co
pozwala internaucie na samodzielną decyzję dotyczącą chęci zapoznawania się z
reklamą skierowaną do niego z wykorzystaniem tych technik. Penalizacja
wspomnianych technik może doprowadzić również do próby anonimizowania ich
Opinia PIIT do Założeń Ustawy spamowej (MTiB)
2
„nadawców”, co z kolei, jak pokazuje zjawisko spamu, często wiąże się z
wykorzystaniem do dystrybucji cudzych zasobów.
e. powołanie specjalnej komórki przy Prezesie UKE właściwej dla ścigania spamu,
Nadanie Prezesowi UKE możliwości nadania tak szerokich uprawnień
pracownikom proponowanej Inspekcji Telekomunikacyjnej, dotyczących prawa
wstępu do pomieszczeń w celu przeprowadzenia kontroli dodatkowych zadań nie
wydaje się celowe, a już prawo wchodzenia do mieszkań osób fizycznych (i to bez
nakazu prokuratora gdyż proponuje się „z zastrzeżeniem wyjątków wskazanych w
ustawie (czyli skrócenie terminów na załatwienie sprawy z uwagi na środowisko
technologiczne, w którym zjawiska mają miejsce)”) rodzi poważne wątpliwości
związane z możliwościami naruszania praw obywatelskich i będzie bardzo
negatywnie społecznie odebrane. Biorąc pod uwagę, że komórki do zwalczania
przestępstw komputerowych powstały już przy Policji, to wydaje się niecelowe
tworzenie kolejnego organu państwowego uprawnionego do prowadzenia śledztw,
przeszukań, zabezpieczania dowodów, i innych tego typu czynności.
f. dodatkowo należy podjąć próbę stworzenia procedur i narzędzi do skutecznej walki ze
zjawiskami malware.
Walka ze zjawiskiem malware jest skuteczna po stronie producenta danego
oprogramowania, które może być celem ataku hakera (a właściwie krakera [ang.
Craker], gdyż haker nie robi krzywdy właścicielowi komputera, do którego się
„włamał”). W każdym innym przypadku jest to standardowe zabezpieczenie
funkcjonowania danego systemu komputerowego poprzez odpowiednie
oprogramowanie ochrony systemu (firewall), ustawienie parametrów programu
obsługi poczty elektronicznej (blokada określonych tematów i adresów),
przeglądarki (blokada „po-up’ów” i banerów reklamowych). Dostępne jest też
oprogramowanie antywirusowe, antyspamowe oraz anty „spyware’owe”.
Z uwag firmy NASK:
Prosimy o korektę zdania „Zespół ten działa w ramach Naukowej i Akademickiej Sieci
Komputerowej, będącej jednostką badawczo-rozwojową, stanowiącą własność Skarbu Państwa” na
zdanie „Zespół ten działa w ramach Naukowej i Akademickiej Sieci Komputerowej, będącej
jednostką badawczo-rozwojową, nadzorowaną przez MeiN”.
Biorąc pod uwagę fakt, że kluczową działalnością zespołu CERT Polska jest „rejestrowanie i obsługa
zdarzeń naruszających bezpieczeństwo sieci” prosimy o umieszczenie tego punktu jako pierwszego
w części opisującej działalności zespołu CERT Polska.
Kończąc opis zespołu CERT Polska warto dodać, że „Jak wynika z powyższego katalogu CERT
Polska nie posiada prawnych instrumentów do zwalczania naruszeń prawa w sieci”.
PIIT docenia skalę zagrożenia oraz koszty ponoszone przez użytkowników z powodu spamu
oraz innych podobnych zjawisk. Jednakże na podstawie informacji uzyskanych od dostawców
usług internetowych stwierdzamy co następuje:
Opinia PIIT do Założeń Ustawy spamowej (MTiB)
3
a. Ponad 80-90% spamu w polskiej sieci internetowej pochodzi z zagranicy i to z
serwerów, które znajdują się poza kontrolą demokratycznych służb specjalnych,
b. Większość tego spamu jest wynikiem korzystania przez użytkownika z witryn
erotycznych lub umożliwiających kopiowanie nielicencjonowanych utworów
(właściciele tych serwerów dodatkowo zarabiają na sprzedaży pozyskanych tą drogą
adresów poczty elektronicznej).
c. Dotychczas w Polsce nie odnotowano przypadku rozsyłania spamu w języku polskim
na dużą skalę. Pojawiające się przypadki rozsyłania informacji handlowych czy też
informacji o imprezach dotyczą stosunkowo wąskiego kręgu odbiorców (dla wielu są
też cenną informacją) i mogą być stosunkowo łatwo zidentyfikowane co do źródła
pochodzenia. Tym samym łatwe jest na podstawie już istniejącej ustawy zażądanie
zaniechania tego typu praktyk.
d. Dostawcy usług internetowych dysponują już bardzo efektywnym oprogramowaniem,
które na zlecenie odbiorcy poczty elektronicznej jest w stanie odfiltrować przesyłki
spamowe z korespondencji oraz zablokować rozsyłanie z danego adresu spamu.
Problemem może być fakt, że takie usługi są z reguły związane z płatnymi kontami
poczty elektronicznej o zaawansowanych cechach użytkowych.
e. Dostawcy usług internetowych i administratorzy serwerów poczty elektronicznej
oferują pomoc techniczną użytkownikom w przypadku kłopotów z nadmiernym
spamem czy też przejęciem jego komputera do rozsyłania spamu.
f. W obecnie używanych programach obsługi poczty elektronicznej oraz w
przeglądarkach stron internetowych istnieje wiele mechanizmów ułatwiających
odfiltrowanie przesyłek spamu i podobnych od oczekiwanej korespondencji czy
informacji. Problemem jest, że wielu użytkowników nie potrafi poprawnie skorzystać
z tych funkcji.
g. Obecnie na rynku istnieje wiele oprogramowania, które umożliwia prawie 100%
zabezpieczenie swojego systemu oraz korespondencji przed nieuprawnionym
dostępem lub też przesłaniem nieoczekiwanych „informacji”. Problemem jest cena
tego oprogramowania (istnieją też uproszczone wersje typu „freeware”) oraz
umiejętność jego poprawnego efektywnego wykorzystania.
h. Obecnie na rynku działa wiele firm oferujących oprogramowanie antywirusowe i
antyspamowe, które również prowadzą serwisy informacyjne o zasadach korzystania
ze swojego systemu komputerowego w taki sposób aby nie być narażonym na
otrzymywanie spamu czy też zniszczenia posiadanych treści przez programy
wirusowe. Podobne informacje można uzyskać z popularnych pism komputerowych.
Wydaje się konieczne upowszechnienie tych informacji.
PIIT uważa, że obecnie przy niewielkim w stosunku do innych krajów Unii Europejskiej
rozpowszechnieniu korzystania z internetu, podstawowym zadaniem administracji
publicznej, instytucji państwowych i prywatnych, placówek edukacyjnych, sektora
gospodarczego, a w tym sektora teleinformatycznego powinno być upowszechnianie i
promocja korzystania z internetu we wszystkich środowiskach społecznych. Tworzenie
zaś poprzez ustawę możliwości penalizacji nawet zwykłych użytkowników tylko z
powodu możliwości użycia ich komputera do przestępstwa typu spam, nie wydaje się
dobrym rozwiązaniem.
Opinia PIIT do Założeń Ustawy spamowej (MTiB)
4
Podsumowując, PIIT stwierdza, że obecnie ani zakres zjawiska spamu w Polsce a
jednocześnie w praktyce wystarczające środki techniczne (stale zresztą rozwijane) nie
uzasadniają wprowadzenia jakichś szczególnych regulacji prawnych oraz specjalnej
penalizacji, gdyż:
1. Wszelkie przestępstwa należy traktować jednorodnie bez względu na sposób czy
zastosowane środki do jego popełnienia. Kradzież pieniędzy z konta powinna być
traktowana jednakowo bez względu czy to był napad z bronią, phishing, czy też poprzez
„włamanie” do komputera. Podawana ostatnio przez prasę wiadomość o wykryciu grupy
osób okradających klientów aukcji elektronicznych (a nie internautów) oznacza po prostu
wykrycie szajki oszustów i złodziei i dla prokuratora oraz sądu nie powinno być istotne
czy kradzieży tych dokonali korzystając z internetu czy telefonu czy po prostu
bezpośrednim wymuszeniem. Podobnie powinno być z utrudnianiem życia obywatelowi
nadmiernymi reklamami – wrzucanymi do skrzynki pocztowej lub skrzynki poczty
elektronicznej, czy też przeglądarki stron internetowych.
2. Należy poszukiwać rozwiązań prawnych jednakowo określających skutek przestępstwa, a
nie zastosowane przez przestępcę środki techniczne. Nie należy też mnożyć dodatkowych
służb tylko dla określonego rozwiązania technicznego, gdyż rozwój techniki dalej będzie
szybko dostarczać nowych możliwości zarówno popełniania przestępstw jak i ich
zapobiegania. Niech lepiej Policja stale się dokształca oraz uzyskuje dodatkowe
wyposażenie, które wraz z nabytą wiedzą informatyczną może zastosować do ścigania
poważnych przestępstw, w szczególności związanych z istnieniem zorganizowanej
działalności przestępczej korzystającej z technik informacyjnych
PIIT negując potrzebę ustawy o spamowej, jednocześnie widzi potrzebę nowelizacji już
istniejących ustaw dotyczących rynku teleinformatycznego zarówno pod kątem dostosowania
ich do aktualnych rozwiązań technicznych, jak i też do modyfikacji na podstawie zebranych
doświadczeń z ich stosowania oraz ze względu na rzeczywiste istniejące zagrożenia. PIIT
deklaruje swoją pomoc merytoryczną w analizowaniu tego typu ustaw.
--------------------------------------------------------------------Polska Izba Informatyki i Telekomunikacji (PIIT) istnieje od stycznia 1993 roku.
Izba działa na podstawie ustawy o izbach gospodarczych (z dnia 30 maja 1989 roku) i "jest
uprawniona do wyrażania opinii i dokonywania ocen wdrażania i funkcjonowania przepisów prawnych
dotyczących prowadzenia działalności gospodarczej" oraz "Właściwe organy administracji państwowej
udzielają izbom gospodarczym informacji niezbędnych do wykonywania ich zadań statutowych".
Członkami Izby są podmioty gospodarcze prowadzące działalność gospodarczą w sektorze
teleinformatyki - telekomunikacji i informatyki. Obecnie do Izby należy ponad 180 firm,
reprezentowanych w Izbie poprzez swoich przedstawicieli.
Opinia PIIT do Założeń Ustawy spamowej (MTiB)
5