14:17
17/6/2024

W niektórych mediach panika! W artykułach piszą, że

“nowe prawo daje aż 10 różnym służbom (…) szeroki dostęp do (…) przesyłanej korespondencji, np. za pomocą komunikatorów internetowych.”

Niektórzy znani dziennikarze idą jeszcze dalej i piszą, że ustawa

“daje służbom prawo wglądu w naszą komunikację na poziomie dotychczas nieznanym. W tym w całą komunikację prowadzoną za pomocą komunikatorów.”

Czy faktycznie? Przejrzeliśmy finalną wersję ustawy, abyście Wy nie musieli, ale już teraz krótki spoiler: nie, cytowane wyżej wypowiedzi dziennikarzy zawierają informacje nieprawdziwe.

Gdzie jesteśmy i dokąd zmierzamy?

Sejm pracuje obecnie nad Prawem Komunikacji Elektronicznej, który zastąpi istniejące dotychczas Prawo telekomunikacyjne. Konieczność stworzenia nowej ustawy wynika z konieczności wdrożenia do polskiego prawa dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiającej Europejski kodeks łączności elektronicznej (w skrócie EKŁE).

Prace nad ustawą trwają od dawna i już w styczniu 2023 roku poświęciliśmy nowemu prawu obszerny artykuł, który prostował pewne dezinformacje, które pojawiały się wtedy na temat PKE w dyskusji publicznej. Teraz znów trzeba to zrobić, bo jesteśmy na “ostatniej prostej” i — jak to zwykle bywa — niektórzy siedli do lektury PKE po raz pierwszy i trochę się w jego zapisach pogubili (co rozumiemy, bo nie jest to łatwa lektura), część terminów źle zrozumieli (wydaje nam się, że niektórzy z “bijących na alarm” nie odróżniają np. słowa “komunikat” od “komunikator”) i dlatego, mając zapewne dobre intencje, wyciągnęli niestety błędne wnioski.

Skupmy się na Art. 43, bo to wokół niego rozpętała się w weekend burza. Artykuł brzmi tak:

Ten przepis dotyczy obowiązku przedsiębiorcy telekomunikacyjnego, który ma zapewnić po swojej stronie warunki techniczne do utrwalenia oraz udostępnienia danych abonentów oraz “komunikatów elektronicznych” przesyłanych przez użytkownika końcowego. Kluczowe jest to, aby dobrze zrozumieć czym jest “komunikat elektroniczny”. Oto jego definicja:

każda informacja wymieniana lub przekazywana między określonymi użytkownikami za pośrednictwem publicznie dostępnych usług komunikacji elektronicznej;

Nie brzmi to dobrze, prawda? Ale… podobny zapis funkcjonuje od lat w obecnym Prawie telekomunikacyjnym — chodzi o Art. 179 ust. 3, który mówi iż:

Przedsiębiorca telekomunikacyjny, z zastrzeżeniem ust. 12 pkt 2, jest obowiązany do:
1) zapewnienia warunków technicznych i organizacyjnych dostępu i utrwalania, zwanych dalej „warunkami dostępu i utrwalania”, umożliwiających jednoczesne i wzajemnie niezależne:
a) uzyskiwanie przez Policję, Biuro Nadzoru Wewnętrznego, Straż Graniczną,.. (itd. tutaj wymieniane są służby – przyp. red), zwane dalej „uprawnionymi
podmiotami”, w sposób określony w ust. 4b, dostępu do:
przekazów telekomunikacyjnych, nadawanych lub odbieranych przez użytkownika końcowego lub telekomunikacyjne urządzenie końcowe,
– posiadanych przez przedsiębiorcę danych związanych z przekazami telekomunikacyjnymi, o których mowa w ust. 9, art. 159 ust. 1 pkt 1 i pkt 3–5,

W obecnie funkcjonującej ustawie termin “przekaz telekomunikacyjny” oznacza

treści rozmów telefonicznych i innych informacji przekazywanych za pomocą sieci telekomunikacyjnych

Czy to jest naprawdę mniej “straszne” niż przytoczona wyżej, definicja nowowprowadzanego terminu “komunikat elektroniczny”? Czy może po prostu autorzy bijących na alarm publikacji nie mieli świadomości jak sytuacja wygląda w aktualnie obowiązującym prawie?

Mogło być o wiele gorzej, ale znów odrzucono poprawki MON-u

Co ciekawe, Ministerstwo Obrony Narodowej chciało, żeby było “szerzej” niż dotychczas. Ministerstwo miało uwagi do art. 43 proponując zastąpienie terminu “przedsiębiorca telekomunikacyjny” terminem „przedsiębiorca komunikacji elektronicznej” co oznaczałoby, że pod PKE podlegaliby też dostawcy poczty elektronicznej oraz producenci komunikatorów. Zgłoszone do Art. 43 przez MON poprawki (podkreślmy, że odrzucone), tłumaczono tak:

Zawarte w projekcie PKE rozgraniczenie terminologiczne pojęć „przedsiębiorcy telekomunikacyjnego” (art. 2 pkt 40 projektu PKE) oraz „przedsiębiorcy komunikacji elektronicznej” (art. 2 pkt 39 projektu PKE), które w drugim przypadku obejmuje przedsiębiorcę telekomunikacyjnego lub podmiot świadczący publicznie dostępną usługę komunikacji interpersonalnej niewykorzystującą numerów, powoduje, że przewidziane w szczególności przez art. 43 projektu obowiązki w zakresie zapewnienia dostępu do wymienionych w tym przepisie informacji przesyłanych lub powstałych w ramach świadczonej publicznie dostępnej usługi telekomunikacyjnej ograniczone zostały jedynie do przedsiębiorców telekomunikacyjnych. Nie będą one natomiast dotyczyły podmiotów świadczących publicznie dostępną usługę komunikacji interpersonalnej niewykorzystującej numerów. Skutkiem przyjęcia projektowanego brzmienia jest niezasadne wyłączenie usługodawców komunikacji interpersonalnej niewykorzystującej numerów, z katalogu podmiotów, na które projektowana ustawa nakłada zadania i obowiązki na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego.

Ten pomysł MON-u nie powinien dziwić tych, którzy pamiętają nasz artykuł z 2023 na temat “wrzutki” MON-u do Ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Mocno polecamy lekturę tamtego artykułu, bo daje ona ważne tło dla proponowanych aktualnie przez MON zmian. MON już wtedy chciał mieć dostęp do pewnych dodatkowych danych od administratorów skrzynek pocztowych i producentów komunikatorów. Ale wtedy nie wyszło. A teraz? Teraz też nie wyszło :)

Podsumowując: MON chciało zmiany definicji w PKE tak, aby ustawa pozwalała na zbieranie danych także od dostawców usług komunikatorów elektronicznych i skrzynek pocztowych, a nie tylko dostawców usług telekomunikacyjnych (operatorów). Ale uwagi MON-u nie zostały zaakceptowane. Czyli art. 43 faktycznie mógłby dawać służbom szersze uprawnienia, ale do tego nie doszło.

Art. 43 przyglądało się wielu…

Artykuł 43 w brzmieniu podobnym jak dziś był zaproponowany już w projekcie datowanym na 22 lutego tego roku i był poddawany uzgodnieniom, konsultacjom i opiniowaniu. W konsultacjach wzięła udział m.in. fundacja Panoptykon, która nie miała uwag do artykułu 43. Miała natomiast uwagi do artykułu 47 dotyczącego retencji danych (ale to materiał na inne rozważania).

Swoje uwagi do ustawy zgłaszał też UODO, jakby nie patrzeć organ bardzo zainteresowany kwestią prywatności. UODO miał uwagi również do art. 47 i kilku następnych, ale nie do art. 43.

Czy eksperci obu tych zacnych organizacji zostali przekupieni przez rząd? Czy możemy już mówić o spisku? A może jednak w temacie danych, do których dostęp będą miały służby na mocy PKE, wiele się nie zmienia i nowe prawo niczego tak strasznego jak twierdzą niektórzy dziennikarze nie wprowadza?

Zapytaliśmy o opinię prawnika, Wojciecha Klickiego, z Panoptykonu, czyli organizacji, która od lat patrzy władzy na ręce skupiając się na obronie naszego prawa do prywatności. Organizacji, która skrupulatnie przejrzała zapisy nowego prawa. Oto wypowiedź Wojciecha:

prawo tworzy system i nie można czytać jednego przepisu w oderwaniu od pozostałych. Nie mylmy obowiązku nakładanego na firmy w Prawie komunikacji elektronicznym z uprawnieniami, jakie mają służby. A bez zmian pozostają przepisy tzw. ustaw kompetencyjnych (np. ustawa o policji), które określają zasady, na jakich służby mogą uzyskiwać dostęp do treści. Wciąż sąd będzie musiał wyrazić zgodę na dostęp do treści.

Czy nowe prawo pozwala na większą inwigilację niż dotychczas?

Wojciech Klicki podsumowuje to tak:

Ustawa nie pozwala na większą inwigilację, niż miało to miejsce dotychczas.

Prawnik dodaje jednak, że powyższe nie oznacza, że problemów z PKE żadnych nie ma. Zwraca uwagę, że Europejski Trybunał Praw Człowieka w wyroku z 28 maja 2024 r. (ze skargi m.in. właśnie Wojciecha Klickiego) stwierdził, że sądy nie sprawują realnej kontroli nad tym, co robią służby. Według Klickiego zmian wymagają nie tylko zasady dotyczące retencji danych telekomunikacyjnych, ale też zasady kontroli nad tym, jak sądy wyrażają zgody na kontrolę operacyjną. Ale — to już nasza opinia — brak mechanizmów kontrolnych działań służb dotyczy zarówno starego jak i nowego prawa.

Podsumowując:

  • Art 43. ustawy Prawo Komunikacji Elektronicznej, wbrew twierdzeniom niektórych dziennikarzy w niektórych artykułach, nie pozwala na większą inwigilację przez służby niż miało to miejsce dotychczas.
  • Aktualnie, jeśli służby chcą skorzystać z dostępu do treści użytkowników, muszą posiadać zgodę sądu i po wejściu w życie PKE dalej taka zgoda będzie wymagana.
  • Nowe prawo nie jest idealne i jeśli chcemy znaleźć w nim problem, to będzie to brak poprawnej kontroli nad służbami w zakresie tzw. “kontroli operacyjnej”. Ale jest jeden problem z tym problemem dla krytyków obecnej ustawy — ten brak poprawnej kontroli dotoczy zarówno nowej jak i starej wersji prawa telekomunikacyjnego…
  • PKE nie pozwoli służbom na czytanie wiadomości, które wymieniacie przez komunikatory ze znajomymi i nawet jakby prawo nakładało na operatorów nagrywanie ruchu dotyczącego komunikatorów, to większość (wszystkie?) korzystają z szyfrowania end-to-end, co oznacza, że w przechwyconym ruchu i tak nie znalazłyby się treści rozmów. Aby je pozyskać, służby musiałyby uzyskać dostęp do urządzenia jednego z rozmówców (PKE tego nie reguluje) albo skorzystać z backdoora/luki w kodzie komunikatora (PKE też tego nie reguluje) lub dysponować olbrzymią mocą obliczeniową, która złamie szyfrowanie (zgadliście, PKE też tego nie reguluje).  
    Na koniec, warto przypomnieć, że niektóre z komunikatorów (nawet tych szyfrowanych!) przechowują metadane na Wasz temat. To znaczy, że mogą na pytanie służb odpowiedzieć kiedy, z kim, jak długo i jak często rozmawialiście. Ale już nie powiedzą o czym, choć to nie zawsze będzie miało dla służb znaczenie, jeśli rozmawiacie np. z terrorystą. Dlatego warto wybierać komunikatory, które nie mają możliwości pozyskania metadanych, a dla większej prywatności, ustawić automatyczne kasowanie wiadomości.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

28 komentarzy

Dodaj komentarz
  1. Chodzi o artykuł Telepolis? https://www.telepolis.pl/wiadomosci/prawo-finanse-statystyki/rzad-prawo-komunikacji-elektronicznej-nowelizacja
    Chyba rzeczywiście pomylili komunikat z komunikatorem haha. A Warzecha to powtórzył na twiterze bo każdy powód żeby walnąć w obecny rząd jest dla niego ok

  2. W tekście ustawy słowo komunikator występuje tylko raz. W słowniczku z definicją pojęć. Nigdzie nie ma mowy o dostępie do treści rozmów przez komunikatory dla służb. Żaden artykuł tej ustawy na to nie pozwala. Skąd nagle taka panika? Może dziennikarze pomylili polską ustawę z planami komisji europejskiej?

  3. i to się nazywa inwigilacja a nie tam jakieś pegasusy srusy, hmm ciekawe jak będzie wyglądać procedura pozyskiwania danych ale to i tak jest wszystko abstrakcja bo wszystko podpisuje prokurator

  4. Wystarczy postawic swoj wlasny “komunikator” na swoim serwerze w domu i zycze powodzenia w inwigilacji

    • przyjdą zabiorą ci serwer i tyle…

  5. Śmieszna sprawa. Ja jestem za tym aby dać służbom więcej możliwości wyłapywania przestępców i zbierania dowodów. Byle tylko posługiwały się nim rozsądnie i było to kontrolowane.

    • Romantyk z Ciebie…

    • Są różne odchylenia, ale większość da się wyleczyć. Proponuję wizytę u specjalisty, może da się to wyleczyć?

    • Problem tylko w tym, że “służby” nie posługują się ani rozsądnie, ani mądrze.. ale za to politycznie i aby “mieć haka” .. ja za to mam haka innego – nie korzystam mam ich w….

      a co do komunikacji to mam własny serwer, logowania YB, zabezpieczenie przed odczytem certami z kluczami zabezpieczonymi YB i hasłem … POWODZENIA ;)

    • Nie ma takiej możliwości, urzędnicy mając dostęp do takich możliwości nie są zainteresowani śledzeniem przestępców tylko przeciwników lub oponentów i mamy przykłady z całego świata, dać dłoń rękę zjedzą bo mogą i maja taką możliwość za darmo, urzędników nikt nie rozlicza z błędnie podjętych decyzji więc resztę dośpiewaj sobie sam

  6. UE jak Sowiety…

    • Przeczytałeś w ogóle artykuł, czy tak sobie komentujesz – głupio, ale po linii partyjnej?

    • Niestety na to wygląda.

  7. Powodzenia w podglądzie komunikacji signala.

  8. Znaczy, może i będą… tylko nie tą ustawą. CSA (znana jako Chat Control 2.0), procedowana obecnie w Radzie UE (w grupie Coreper II), ma wprowadzić obligatoryjne skanowanie po stronie klienta wszystkich obrazków i linków we wszystkich komunikatorach. Oczywiście chodzi o ochronę dzieci i wykrywanie CSAM.

    Proszę, tu szczegóły: https://www.patrick-breyer.de/en/lawmakers-across-the-eu-call-on-eu-council-to-reject-the-chat-control-proposal/

    Fragmenty z listu otwartego wybranych parlamentarzystów (głównie Zieloni), jakbyście mieli jakieś wątpliwości co do wagi tej planowanej regulacji:

    > […] would put to an end the confidentiality of private communication

    > The mandatory investigation of private communication messages without suspicion […]

    > […] we are convinced that the proposed measures are incompatible with European fundamental rights

  9. już jestem ciekaw jak wykorzystujący numery RCS będzie podglądany przez służby skoro prawie wszyscy operatorzy oddali kierownicę dotyczącą tej usługi Googlowi.

  10. Wy się martwicie ustawą, a tymczasem w Parlamencie UE głosowanie w sprawie “Chat Control” przeniesione z środy na czwartek. Przecież trzeba chronić milusińskich przed pedofilami – nikt nie może mieć nic do ukrycia. Jak przegłosują to żegnajcie Signale, ProtonMaile, TutaNoty, etc… A media milczą…
    Więcej: https://www.patrick-breyer.de/en/posts/

  11. Platforma Obywatelska / KO cały czas chce rozliczać Pegasusa, a wprowadza coś o wiele bardziej groźnego niż Pegasus. Przecież to będzie totalna inwigilacja Państwa.
    Wiem wiem, jak nie masz nic do ukrycia to nie musisz się bać…. Ludzie obudźcie się , przecież zmierzamy do całkowitej kontroli nad społeczeństwem, za przyzwoleniem społeczeństwa. Dlaczego nikt nie protestuje !!!! Jak to się dostanie w recę Kaczyńskiego po następnych wyborach to będzie szach-mat.

  12. Witajcje Ejabberd i Prosody. Witajcie Pis-plus, Kopete, Gajim, Pidgin, MirandaIM czy Convestations.

    Co prawda nie zawsze i nie wszędzie, bo naszym operatorom telekomunikacyjnym “skończyły się adresy” Ipv6 i mają o wiele za mało adresów Ipv4, dlatego większość użytkowników internetu siedzi na NAT, ale starczy publiczny adres i router z np OpenWRT czy stary komputer, który robi za router na tym publicznym adresie i można posadzić serwer Jabbera, Voipa, Pocztę email i co tylko chcecie.

    Czekam jeszcze, aż kretyni z obecnej koalicji panującej nakażą operatorom rejestrowanie “portów NAT”.
    Skoro Prigożyn i Putin nie zdołali włączyć w Polsce powszechnie Ipv6, to może pycha i durnota polityków dokona tego “cudu nad Wisłą”.

    Pozdro

    • Można postawić też np Matrixa, albo używać czegoś bardziej zdecentralizowanego jak np Session.

  13. Szkoda że w artykule nie znalazłem odpowiedzi na proste pytanie: czy po wprowadzeniu nowego prawa będzie możliwe w legalny sposób używanie komunikatorów z szyfrowaniem E2E na terenie UE?

    • To są przepisy krajowe, nie europejskie. Więc tak, po wprowadzeniu tego na terenie EU się nic nie zmieni.

  14. Pegasus za drogi to trzeba znaleźć tańszą drogę inwigilacji

  15. Nawet jakby przepis obowiązywał przedsiębiorców komunikacji elektronicznej to jak niby by kontrolowali zdecentralizowane otwarte komunikatory z szyfrowaniem e2e jak np ToxChat czy Matrix? Oraz czy jako społeczność non-profit też chyba nie jesteśmy narażeni skoro nie jesteśmy “przedsiębiorcami” nawet jeśli nasi bywalcy mają firmy? :)

  16. Ojojoj ilu się tu nagle znalazło obrońców obecnej władzy. Jaka ona dobra jak to ona będzie godnie szpiegować, ładnie i z uśmiechem. Hipokryzja hipstrerii sięga zenitu. Powiem krótko jakby nieudacznicy z PiS zrobili 25% tego co robią postkomuniści od Tuska to byście chyba kosmitów o interwencje zawołali.

  17. Pojechałem na wakacje za granicę. Goście w hotelu sympatyczni. Nawet ci co się dosiadają do stolika. Wieczorem idę do baru all inclusive w swoim hotelu a facet w towarzystwie krzyczy radio radio i słyszę cicho cicho. Zero dyskrecji. A interesuje się krótkofalarstwem. Wstyd.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: