Artykuł ukazał sie pod tytułem "Jak tworzyć prawo - produkty czy standardy?", W. Majewski, P. Waglowski, ComputerWorld 40/596 z 4 listopada 2003 r.

30 maja 2003 roku Minister Zdrowia wydał rozporządzenie w sprawie sposobu przedstawiania dokumentacji oraz wzoru wniosku o dopuszczenie do obrotu produktu homeopatycznego i produktu homeopatycznego weterynaryjnego. Przewiduje ono w paragrafie drugim, iż "dokumentację składa się w formie papierowej i elektronicznej, w formacie Word".

Jest to podręcznikowy przykład złego prawa: ustalanie oprogramowania, w które powinny być wyposażone komputery petentów nie leży w zakresie działania Ministra Zdrowia (póki nie zostanie udowodnione, że pewne programy stwarzają zagrożenie dla zdrowia użytkowników...), a program do pisania nie jest produktem homeopatycznym, nawet jeśli zawiera tylko ślady istotnych funkcji zatopione w zbędnych ozdobnikach. Rozporządzenie zostało jednak wydane - jak obywatel może spełnić wymagania przyjmującego jego wniosek urzędu?

Na pozór wystarczy poza urzędową opłatą na rzecz Państwa Polskiego uiścić także mniej formalną daninę na rzecz producenta oprogramowania i nabyć licencję na używanie ulubionego narzędzia resortu. Dla urzędników jej koszt nie jest istotny, gdyż reprezentowany przez Ministra rząd jest wielce zaprzyjaźniony producentem programu, który w dowód sympatii zaoferował instytucjom rządowym ceny dziesięciokrotnie niższe od tych, jakich żąda on od zwykłych użytkowników. Nawiasem mówiąc: czy łączna wartość tej wytargowanej przez rząd 'promocji' nie jest formą ukrytego podatku? Przecież kwoty zaoszczędzone przez rząd producent oprogramowania zapewne przeniesie na pozostałych, mniej uprzywilejowanych nabywców?

A co uczynić, gdy producent wycofa zalecany program z rynku? Zmienić z tego powodu prawo?

Załóżmy jednak, że petent uzyskał możliwość skorzystania z programu, którego autor deklaruje, że pozwala on zapisać wniosek w formacie zgodnych z formatem Word. Jak to sprawdzić? Program Word dostępny jest w kilkudziesięciu wersjach i odmianach, a używane przez nie formaty bardzo się różnią między sobą, często są wręcz celowo niezgodne. Jak sprawdzić, której wersji używa przyjmujący wniosek urzędnik?

Informacja publiczna

Skończmy z anegdotycznym przykładem, zajmijmy się szerszym problemem. Olbrzymią doniosłość dla polskiego Internetu w zakresie kształtowania praktyki prawodawczej ma ustawa o dostępie do informacji publicznej oraz wydane na jej podstawie rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 17 maja 2002 r. w sprawie Biuletynu Informacji Publicznej.

Rozporządzenie to daje pierwsze w historii polski wskazówki normatywne, jak należy tworzyć serwisy internetowe, w szczególności określa strukturę strony głównej Biuletynu, standardy struktury stron podmiotowych, a także zakres i tryb przekazywania informacji oraz standardy zabezpieczania treści informacji publicznych udostępnianych w Biuletynie Informacji Publicznej.

Na uwagę zasługuje posługiwanie się w omawianym akcie nazwami pewnych, uznanych na świecie standardów. Piszemy o posługiwaniu się nazwami, gdyż rozporządzenie nie implementuje na grunt polskiej rzeczywistości normatywnej międzynarodowych standardów, a jedynie wykorzystuje ich nazwy jako "słowa wytrychy". Dla przykładu, odwołując się do jednej z definicji "adres URL" to (wedle rozporządzenia) "adres wskazujący lokalizację strony głównej lub podmiotowej strony Biuletynu w sieci teleinformatycznej (adres strony www)".

Już na pierwszy rzut oka widać, że polski prawodawca myli pojęcia, gdyż URL to angielskojęzyczny skrót od Uniform Resource Locators (szczegółowo omówiony w RFC 1738); Nie można mówić również w polskim akcie normatywnym, w sposób nie budzący wątpliwości, o adresie strony www (gdyż www, World Wide Web jest również pewnego rodzaju wytrychem). Definiowanie URL poprzez jedyną tylko korzystającą z niego usługę internetową (www) jest ewidentnym pomyleniem pojęć.

Inne przykłady

W ostatnich latach polski ustawodawca wydał dużą liczbę aktów normatywnych dotyczących omawianej problematyki. Warto tu wspomnieć ustawę z dnia 12 września 2002 r. o elektronicznych instrumentach płatniczych, ustawę z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, ustawę z dnia 5 lipca 2002 r. o ochronie niektórych usług świadczonych drogą elektroniczną opartych lub polegających na dostępie warunkowym, ustawę z dnia 18 września 2001 r. o podpisie elektronicznym, ustawę z dnia 27 lipca 2001 r. o ochronie baz danych, ustawę z dnia 6 września 2001 r. o dostępie do informacji publicznej, ustawę z dnia 6 lipca 2001 r. o gromadzeniu, przetwarzaniu i przekazywaniu informacji kryminalnych, ustawę z dnia 30 czerwca 2000 r. Prawo własności przemysłowej. Olbrzymie znaczenie mają również ostatnie i projektowane zmiany ustawy o ochronie danych osobowych.

Wszystkie te akty dotknięte są bardzo podobnymi niedoskonałościami.

Jak to zrobić lepiej?

W cytowanych wyżej aktach normatywnych prawodawca wskazuje standardy techniczne przy okazji regulowania zupełnie innej materii. Nie odwołuje się jednak do ogólnych standardów, gdyż tych w prawie krajowym nie ma, a norm światowych zwykle legislator nie zna.

W wielu sytuacjach zapał do szczegółowego regulowania formatów jest po prostu zbędny. Czy ryzyko, że dostarczony Urzędowi w rzadziej dziś używanym formacie: HTML, XML, otwarty PDF, TeX, Postscript wniosek nie będzie możliwy do odczytania przez zakładowego informatyka jest tak wielkie, że trzeba je prawnie wykluczyć? Aby ochronić się przed dowcipnisiami próbującymi złożyć wniosek w formacie GIF wystarczy wymóg, aby Urząd mógł poprosić o dostarczenie obok dokumentu sformatowanego także zwykłego, otwartego tekstu. Przecież formatów dyskietek lub innych nośników rozporządzenie nie reguluje, podobnie jak składu chemicznego papieru, na których zapisywane są wnioski pisemne!

Co jednak począć, gdy umormowanie materii informatycznej w luźno z nią związanym akcie normatywnym jest naprawdę potrzebne? Najlepiej szczegóły pozostawić specjalistom!

Odwołanie się do norm stanowionych przez niezależny organ standaryzacyjny pozwoli nie tylko ujednolicić praktykę i wymagania, ale także ułatwi nadążanie prawa za postępem techniki. Pozostaje pytanie, któremu organowi powierzyć to zadanie, jak organ ten powinien być usytuowany i jakie powinien przyjąć wzorce postępowania.

Zrozumiała pokusa, aby rząd mógł rządzić bez skrępowania, podsuwa pomysły, by obowiązek stanowienia standardów powierzyć po prostu właściwemu ministrowi. Idea ta zresztą zgodna jest z postulatem ograniczania liczby agend i instytucji o niejasnym statusie i kompetencjach z pogranicza władzy wykonawczej i prawodawczej.

Z innych kręgów słychać często pogląd, że taki organ standaryzacyjny jest zupełnie zbędny - w końcu informatyka i internet długo rozwijały się bez wtrącania się organów państwowych i nie jest pozbawione podstaw przypuszczenie, że ten brak zainteresowania im nie zaszkodził. Ponadto informatyka jest od swego zarania fenomenem międzynarodowym i wszystkie potrzebne standardy uzgadniane są i upowszechniane przez odpowiednie grona międzynarodowe, często o całkiem nieformalnym charakterze (dla przykładu IETF, czyli ciało tworzące standardy techniczne Internetu, to grupa zadaniowa stowarzyszenia ISOC, którego wraz z kilkunastu tysiącami innych twórców sieci jesteśmy członkami: warto zwrócić na to uwagę redaktorom projektów rozporządzeń). Czy więc nie wystarczy wskazać w polskim prawie odpowiednie standardy RFC, W3C lub ISO?

Z takim podejściem wiąże się kilka problemów. Trudno zobowiązywać polskich obywateli do studiowania obcojęzycznych norm, w dodatku często sformułowanych w sposób trudny do zrozumienia nawet dla osób płynnie posługujących się angielskim, jeśli nie są fachowcami z odpowiedniej dziedziny. Ponadto są liczne obszary istotne dla obywateli polskich, których normy międzynarodowe nie regulują lub proponowane regulacje nie są jeszcze zatwierdzone w chwili, gdy potrzebna jest decyzja. Zdarza się też, że różne grupy normalizacyjne wydają nie w pełni ze sobą zgodne normy. Co wtedy? Najważniejszą jednak przeszkodą dla obyczaju odwoływania się do norm międzynarodowych jest sprzeciw środowisk, które nie dopuszczają myśli, że obowiązujące nas normy mogliby stanowić obcy.

Pozostaje więc najprostsze rozwiązanie: przyznać odpowiednie prawa, obowiązki i niezbędne środki istniejącej i specjalnie w tym celu powołanej instytucji: komitetowi normalizacyjnemu. Kłopot praktyczny, polegający na tym, że nie nadąża on ze stanowieniem norm, łatwiej rozwiązać zmuszając istniejącą instytucję do sprawniejszego działania niż tworząc nową. Innym problemem jest to, że Polskie Normy korzystają z ochrony tak jak utwory literackie, a autorskie prawa majątkowe do nich przysługują krajowej jednostce normalizacyjnej. Ogranicza to w znaczny sposób możliwość powszechnego publikowania tak ustanowionych standardów m.in. na stronach internetowych.

Otwartość standardów

Jako przedstawiciele środowiska Internet Society (celami ISOC Polska jest m.in. promowanie otwartych standardów sieci Internet i upowszechnianie idei społeczeństwa informacyjnego, oraz przyczynianie się do rozwoju sieci Internet w Polsce) namawiamy do tworzenia w szeroko pojętym obszarze e-government regulacji odwołujących się do otwartych standardów i tradycji Wolnego Oprogramowania. Jednak stworzenie jasnych standardów i konsekwentne odwoływanie się do nich w aktach normatywnych nie zamknie drogi producentom oprogramowania zamkniętego do realizacji informatycznych zadań administracji publicznej. Nasze propozycje zmierzają do sytuacji, w której oprogramowanie zamknięte i o otwartym kodzie będą współistnieć, a państwo nie będzie żadnemu z możliwych rozwiązań zamykało drogi rozwoju.

Z tym tematem łączy się problem zakazu dyskryminacji osób niepełnosprawnych. Rok 2003 został ogłoszony Europejskim Rokiem Niepełnosprawnych. W niektórych krajach istnieją regulacje prawne, które nakazują tak przygotować serwis internetowy i systemy informatyczne, by były one dostępne dla osób niewidomych lub słabo widzących. Przykładem jest Wielka Brytania, która ostatnio wprowadziła zasady dotyczące również prywatnych osób tworzących strony www. The Royal National Institute of the Blind in Peterborough na razie edukuje, ale niebawem osoby prowadzące serwisy internetowe nie spełniające przyjętych standardów będą mogły być pociągnięte do odpowiedzialności prawnej. Przygotowanie serwisu internetowego zgodnie z określonymi standardami nie jest już opcjonalne. Stało się obligatoryjne na mocy ustawy the Disability Discrimination Act 1995 (Amendment) Regulations 2003, która wejdzie w życie 1 października 2004 roku. Przynajmniej w UK.

Wychowanie wymaga cierpliwości

Środowisko wspierające rozwój społeczeństwa informacyjnego ma za zadanie działać na rzecz poszerzania świadomości i wiedzy na temat rozwiązań technicznych, skierowanych do pracowników wymiaru sprawiedliwości, zwłaszcza sędziów oraz ławników, którzy już teraz zmuszeni są ferować wyroki w sprawach związanych z nowoczesną technologią. Ich wiedza ma wpływ na istniejące stosunki społeczne, w szczególności sposób orzekania kształtuje stopień zaufania obywatela do wymiaru sprawiedliwości. Orzekanie zaś ze znajomością zagadnienia przyczynia się do ugruntowania jasnych, normalnych, zasad na rynku teleinformatycznym. Powyższe uwagi dotyczą również urzędników uczestniczących w procesie stanowienia prawa.

Uważamy również, że należy zwiększyć nakłady czynione ze środków publicznych na rzecz infrastruktury informatycznej, zwłaszcza akademickiej. Państwo Polskie powinno podjąć działania ułatwiające pozyskanie przez ośrodki naukowe finansowania projektów, promując skutecznie wdrożone rozwiązania oraz pomagając w pozyskiwaniu środków z międzynarodowych oraz krajowych funduszy pozarządowych. Konieczne jest ustanowienie jasnych zasad współpracy pomiędzy podmiotami działającymi na komercyjnym rynku oraz uczelniami, również w zakresie przygotowywania programów kształcenia. Kuriozalne wydaje się nam zatem stwierdzenie przedstawiciela Ministerstwa Edukacji Narodowej i Sportu, że "większość podręczników informatyki jest napisana pod Windows, więc uczy się tego przedmiotu na Windowsach. To pozwala uniknąć chaosu."

Ustawa o informatyzacji

Planuje się obecnie uchwalenie ustawy o informatyzacji... Jednocześnie projekty aktów wykonawczych do tej ustawy odwołują się wprost do standardów ustanowionych przez nasze stowarzyszenie (projekty zawierają obszerne tabele explicite wymieniające konkretne dokumenty Internet Society: RFC o kolejnych numerach). Z jednej strony nas to cieszy, z drugiej zaś martwi, gdyż okazuje się, że Polska nie potrafi stworzyć opracowania dotyczącego międzynarodowych standardów komunikacyjnych (w tym dotyczących protokołów wymiany danych) w języku ojczystym. Deklarujemy chęć współpracy z krajowym urzędem normalizującym nad opracowaniem ww. dokumentów.

We wszystkich tych ustawach, o których wyżej, należy stosować konsekwentnie wypracowaną i spójną koncepcję pojęć i definicji. Przygotowanie i stosowanie w procesie stanowienia prawa pojęć o jednolitym zakresie znaczeniowym jest bardzo ważne ze względu na jasność regulacji, wiedzę obywateli na temat obowiązków nałożonych przez obowiązujące prawo, a szczególnie na spójność systemu prawnego. Zbiór definicji powinien być pierwszym krokiem na drodze "wyjaśniania obowiązujących i projektowanych przepisów". Należy wszakże mieć na względzie, że rozwój nowoczesnej technologii jest znacznie szybszy niż proces stanowienia prawa. Wprowadzając w życie akty normatywne ustawodawca zakłada również pewien okres, w którym regulacje będą obowiązywać. Trzeba zatem poszukiwać definicji uniwersalnych (godzących abstrakcyjny stan faktyczny, regulowany przez dany przepis, z precyzją rozwiązań teleinformatycznych), które sprostają próbie czasu. Jednocześnie należy postulować opracowanie metod wprowadzania w przyszłości do obowiązującego systemu prawnego nowych pojęć i definicji, co jest procesem nieuniknionym. Podsumowując: wprowadzanie nowych definicji oraz stosowanie istniejących powinno być związane z konsultacjami ze środowiskiem zajmującym się w praktyce nowymi technologiami w oparciu o jasne i ustalone procedury oraz być związane z wykorzystaniem opracowanego katalogu pojęć.

Na marginesie należy zwrócić uwagę na to, iż nie można przygotowywać aktów normatywnych w ten sposób, iż dokonuje się tłumaczenia stosownej dyrektywy europejskiej (często tłumaczenie jest niezgodne z tekstem oryginalnym lub jest wręcz z nim sprzeczne), następnie nazywa się tak przygotowane zapisy ustawą. Jeśli nawet nie popełni się błędu w tłumaczeniu - tego typu procedura może doprowadzić do odpowiedzialności państwa polskiego za brak implementacji (brak wypełnienia treścią) stosownych reguł do prawa krajowego.

Do czego to prowadzi?

Efektem niejasnych zasad i nieprzyjęcia określonych standardów jest zamówienie przez Zakład Ubezpieczeń Społecznych programu "Płatnik - przekaz elektroniczny" jedynie na ściśle określoną platformę. W efekcie - pracodawcy zobowiązani do wymiany dokumentów z ZUS (wszyscy, którzy zatrudniają ponad 5 pracowników) zmuszeni zostali pośrednio do zakupu komercyjnego systemu operacyjnego, mimo że samo oprogramowanie do wymiany dokumentów z ZUS jest bezpłatne. W ostatnich dniach lekarze z Białostockiego Kolegium Lekarzy Rodzinnych ogłosili, że chcą, aby Urząd Ochrony Konkurencji i Konsumentów zbadał, dlaczego obliguje się ich do przekazywania do Narodowego Funduszu Zdrowia listy pacjentów, lekarzy i pielęgniarek zapisanych w formacie komercyjnego arkusza kalkulacyjnego. Jak powiedział jeden z nich: "Dziś okazało się, że bez zakupu programu Excel firmy Microsoft nie będzie działała jedna z aplikacji programu KS-SWD, który dostajemy z Kamsoftu."

Tylko, że Urząd Ochrony Konkurencji i Konsumentów nie zajmie się zapisami znajdującymi się w aktach normatywnych. Z doświadczeń związanych z domaganiem się ujawnienia specyfikacji niezbędnej do funkcjonowania Płatnika wiemy też, iż w opinii UOKiK nie ma on kompetencji do ingerowania w działania podmiotów nie będących przedsiębiorcami a zatem niewielkie są szanse by interweniowali w sprawy gdzie stroną jest Narodowy Fundusz Ochrony Zdrowia.

Przykładu na wykorzystywanie nieprzemyślanych rozwiązań dostarcza ustawa o świadczeniu usług drogą elektroniczną: definiuje ona pojęcie adresu elektronicznego jako oznaczenie systemu teleinformatycznego (z dalszym uzupełnieniem tej definicji). W innym miejscu zezwala na wyrażenie zgody na otrzymywanie informacji w ten sposób, iż potencjalny odbiorca udostępni w tym celu identyfikujący go adres elektroniczny. Już na pierwszy rzut oka widać, że jeśli adres elektroniczny stanowi oznaczenie jakiegoś systemu (a więc rozwiązań sprzętowych i programistycznych) nie może identyfikować konkretnej osoby. Należy uznać zatem, że wspomniany przepis - jakże istotny w walce ze spamem (niezamówioną informacją elektroniczną) - nie będzie miał zastosowania - właśnie ze względu na niespójność wykorzystywanych w aktach normatywnych pojęć.

Zdajemy sobie sprawę z tego, że administracji nie obchodzi, czy program jest otwarty czy nie, liczą się koszty, gwarancja wsparcia technicznego i działania oraz bezpieczeństwo. Uważamy, że standardy przygotowane przez niezależny i niepolityczny organ normalizujący mogą zapewnić wymagane przez administrację publiczną warunki.

---
autorzy są Członkami Zarządu stowarzyszenia Internet Society Poland
http://www.isoc.org.pl