Nie zamykajcie stron rządowych dla anonimowego ruchu! To ograniczy nasze prawa

Po głośnych atakach na strony rządowe w ramach akcji przeciwko ACTA Ministerstwo Administracji i Cyfryzacji opublikowało ciekawy dokument: Wytyczne w zakresie ochrony portali informacyjnych administracji publicznej. Cel jest jasny: zabezpieczyć strony rządowe przed atakami takimi jak DDoS czy włamania do paneli administracyjnych. Z nim nie polemizujemy. Zaniepokoił nas za to środek, jaki ma doprowadzić do tego celu. „Wytyczne” przewidują blokowanie dostępu do portali rządowych osobom, które korzystają z rozwiązań anonimizujących, oraz filtrowanie ruchu przychodzącego według bliżej nieokreślonych kryteriów.

Trudno definitywnie stwierdzić, jak takie blokowanie i filtrowanie ruchu miałoby się odbywać - "Wytyczne" w tych fragmentach nie są precyzyjne, co może dawać dużą swobodę na etapie ich stosowania. Dokument nie przewiduje też konkretnych mechanizmów kontroli, które chroniłyby przed nadużyciami. Naszym zdaniem takie środki są nieproporcjonalne do celu i mogą realnie ograniczyć konstytucyjne prawo obywateli do informacji, w tym wypadku do korzystania z portali informacyjnych administracji publicznej.

Zwróciliśmy Ministerstwu uwagę, że pozostawienie użytkownikom możliwości anonimowego odwiedzania stron rządowych to sprawa fundamentalna, ściśle związana z konstytucyjnym prawem do informacji. Jak wiadomo, każde połączenie z serwerem WWW ujawnia adres IP tzw. "klienta", dzięki czemu administrator serwera uzyskuje możliwość dość dokładnego śledzenia zainteresowań i aktywności poszczególnych użytkowników. To może stanowić zagrożenie dla ich anonimowości, a pośrednio także ich prywatności. Staje się to szczególnie prawdopodobne w przypadku korzystania z portali rządowych – administracja publiczna dysponuje przecież techniczną możliwością powiązania numerów IP z konkretnymi obywatelami.

Pełna treść naszych uwag przesłanych Ministerstwu Administracji i Cyfryzacji:

Fundacja Panoptykon z zainteresowaniem obserwuje działania zmierzające do poprawienia dostępności portali informacyjnych administracji publicznej. Dostęp do informacji dotyczących spraw publicznych uważamy za kwestię fundamentalną dla rozwoju obywatelskiego społeczeństwa
 informacyjnego. Nie bez przyczyny jest on wartością chronioną konstytucyjnie. Dlatego też szczegółowo zapoznaliśmy się z wydanymi przez Ministra Administracji i Cyfryzacji "Wytycznymi w zakresie ochrony portali informacyjnych administracji publicznej". Lektura ta skłoniła nas do zwrócenia uwagi MAiC na zagrożenia dla konstytucyjnego prawa do informacji, jakie niosą ze sobą te Wytyczne.

W naszej opinii takie zagrożenia występują pomimo oczywiście słusznego celu, jakim jest utrzymanie dostępności portali rządowych.

Wydarzenia ostatnich tygodni pokazały, że portale rządowe podatne są na rozmaite ataki, takie jak DoS lub włamania do paneli administracyjnych. Ciekawym paradoksem jest fakt, że ataki te były 
efektem ubocznym społecznego niezadowolenia ze sposobu postępowania polskich władz w sprawie ACTA. A przecież źródłem tego niezadowolenia był w dużej mierze brak pełnej informacji na temat tej umowy oraz ściśle z tym związane nieprawidłowości publicznej debaty i konsultacji
 na ten temat. Nie zmienia to oczywiście faktu, że prawidłowa ochrona portali rządowych przed atakami jest konieczna (nawet w sytuacji prawidłowo działających mechanizmów udostępniania informacji publicznej). Dlatego zasadniczo zgadzamy się z celami Wytycznych.

Nasze wątpliwości budzą jednak te postanowienia Wytycznych, które mogą ograniczać chronione Konstytucją RP prawo do informacji. Mianowicie, Wytyczne obligują do blokowania dostępu do portali rządowych osobom korzystającym z rozwiązań anonimizujących, a także do filtrowania 
ruchu przychodzącego według bliżej nieokreślonych kryteriów ("określonych typów pakietów lub całych protokołów"). Co istotne, te postanowienia Wytycznych są nie do końca precyzyjne, dając dużą swobodę osobom odpowiedzialnym za ich wdrożenie. Nie przewidują również konkretnych mechanizmów kontroli ich decyzji.

W rezultacie stosowania Wytycznych informacje umieszczane w portalach rządowych nie będą dostępne dla osób chcących zachować anonimowość lub osób, które nie spełnią dość arbitralnie określonych kryteriów. Takie ograniczenie w dostępie do informacji publicznej może stanowić
naruszenie Konstytucji RP. Ustawa zasadnicza gwarantuje bowiem każdemu prawo do pozyskiwania informacji (art. 54), a obywatelom prawo do uzyskiwania informacji o działalności organów władzy publicznej oraz osób pełniących funkcje publiczne (art. 61). Art. 31 ust. 3
 Konstytucji RP zezwala oczywiście na ograniczenie tych praw, jednakże mogą być one "ustanawiane tylko w ustawie i tylko wtedy, gdy są konieczne w demokratycznym państwie dla jego bezpieczeństwa lub porządku publicznego, bądź dla ochrony środowiska, zdrowia i 
moralności publicznej, albo wolności i praw innych osób. Ograniczenia te nie mogą naruszać istoty wolności i praw".

Cytowane przepisy naszym zdaniem nie pozwalają wprowadzać w Wytycznych regulacji, które ograniczałyby możliwość anonimowego pozyskiwania informacji zawartej w portalach rządowych lub wymagałyby spełnienia przez użytkowników tych portali dodatkowych kryteriów. Przede
 wszystkim, Wytyczne nie mają rangi ustawowej (kryterium formalne). Jednak nawet przepisy rangi ustawowej musiałyby sprostać wysokiemu standardowi wynikającemu z pozostałej części art. 31 ust. 3 Konstytucji RP (kryterium materialne). Omawiane ograniczenia nie spełniają tego standardu, przede wszystkim dlatego, że uniemożliwienie anonimowych połączeń nie jest konieczne dla ochrony portali rządowych. Dostęp do portali rządowych nie może być też uzależniony od bliżej 
nieokreślonych kryteriów. Wszelkie takie kryteria powinny być jasno i precyzyjnie określone w ustawie, w sposób proporcjonalny do celów, jakim mają służyć i zagrożeń, jakim mają przeciwdziałać.

Na zakończenie zwracamy uwagę, że zapewnienie możliwości anonimowej realizacji prawa do informacji w środowisku cyfrowym wymaga szczególnej uwagi. Jak wiadomo, każde połączenie z serwerem WWW ujawnia adres IP tzw. "klienta", dzięki czemu administrator serwera uzyskuje możliwość dość dokładnego śledzenia zainteresowań i aktywności poszczególnych użytkowników. Stanowi to zagrożenie anonimowości, a pośrednio również prywatności, zwłaszcza w kontekście
korzystania z portali rządowych - z uwagi na fakt dysponowania przez administrację publiczną techniczną możliwością powiązania numerów IP z konkretnymi obywatelami. Uzasadnia to wprowadzanie nie tylko prawnych, ale i technicznych gwarancji anonimowości. Powyższe prowadzi do wniosku, że administratorzy portali rządowych powinni nie tylko nie utrudniać anonimizacji, lecz wręcz to wyraźnie umożliwiać. W zakresie, w jakim korzystanie to stanowi realizację prawa dostępu do informacji publicznych można wręcz postawić tezę o istnieniu prawnego obowiązku umożliwienia skorzystania z tych rozwiązań.

Powyższe uwagi zostały opracowane przez dr. Krzysztofa Siewicza, eksperta współpracującego z Fundacją Panoptykon