Konsultujemy Politykę Ochrony Cyberprzestrzeni RP

Ministerstwo Administracji i Cyfryzacji oraz Agencja Bezpieczeństwa Wewnętrznego współtworzą „Politykę Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej”. Oficjalnie jej celem jest m.in. zwiększenie zdolności zapobiegania i zwalczania zagrożeń cyberprzestępczością, zmniejszenie skutków incydentów godzących w bezpieczeństwo teleinformatyczne i określenie kompetencji podmiotów odpowiedzialnych za bezpieczeństwo cyberprzestrzeni. Jednak zawsze, kiedy w języku polityki pojawia się „cyberbezpieczeństwo”, w nas budzi się czujność, czy nie pociągnie to za sobą nowych zagrożeń dla praw i wolności obywateli, którzy w tej cyberprzestrzeni funkcjonują. Dlatego w ramach trwających właśnie konsultacji społecznych przedstawiliśmy naszą opinię w sprawie projektu polityki.

Kształtowanie polityki bezpieczeństwa w odniesieniu do Internetu zaczyna się od podstawowej decyzji, które zachowania użytkowników są dopuszczalne (legalne), a które nie. Od tej decyzji zależy, na jaki front zostanie skierowana uwaga organów ścigania, a także to, jak zostaną ustalone polityczne priorytety. Polityka ochrony cyberprzestrzeni to, jak sama nazwa wskazuje, dokument nielegislacyjny, który prawa nie zmienia, a jedynie realizuje kierunki przez prawo wyznaczone. Jeśli w obowiązującym prawie istnieją przepisy, które przy zastosowaniu literalnej wykładni zagrażają wolnościom obywatelskim, na poziomie polityki będziemy się borykać z tymi samymi wyzwaniami. Dlatego swoje uwagi skoncentrowaliśmy na zmianach o charakterze legislacyjnym:

1. Obowiązujące przepisy zabraniają tworzenia narzędzi hakerskich, które „są przystosowane do popełniania przestępstw” (art. 269 Kodeksu karnego). Tymczasem te same narzędzia mogą służyć np. omijaniu blokad w dostępie do informacji w Internecie lub ukrywaniu tożsamości osób obawiających się represji politycznych. Co więcej, czasem mogą być one tworzone po to, by… za zgodą właściciela przetestować bezpieczeństwo systemu. Dlatego postulujemy zmianę art. 269 i dostosowanie go do realiów cyberprzestrzeni.

2. Postulujemy także wyraźne wyłączenie karalności działań haktywistycznych, jeśli stanowią one manifestację o charakterze politycznym czy społecznym. Takie działania, polegające na modyfikowaniu zawartości stron WWW, ich podmianie czy masowych „odwiedzinach” serwerów w celu ich przeciążenia (DDoS), odróżnia od cyberprzestępczości ich symboliczny wymiar i cel, w jakim są przeprowadzane.

Zwróciliśmy również uwagę na to, że troska o cyberbezpieczeństwo nie może być realizowana za wszelką cenę. W szczególności na tym ołtarzu nie mogą być poświęcane takie wartości, jak anonimowa komunikacja w sieci, prawo do informacji czy wolność słowa. Dlatego niedopuszczalne są narzędzia służące bezpieczeństwu w cyberprzestrzeni oparte na filtrowaniu czy blokowaniu treści (więcej o tym, dlaczego sprzeciwiamy się blokowaniu), a także ciągłemu monitorowaniu zachowań użytkowników. W tym kontekście przypomnieliśmy naszą opinię, w której zwracaliśmy uwagę polskiego rządu na to, że nie może ograniczać dostępu do stron rządowych dla anonimowego ruchu.

Wojciech Klicki, Katarzyna Szymielewicz