Opinia ISOC PL na temat projektu rozporządzenia w sprawie BIP

Opinia na temat projektu rozporządzenia w sprawie BIP, przesłanego nam przez MSWiA do konsultacji (z bardzo krótkim terminem na udzielenie odpowiedzi).

Szanowni Państwo,

W imieniu Stowarzyszenia ISOC Polska przekazuję uwagi do przesłanego nam projektu rozporządzenia w sprawie Biuletynu Informacji Publicznej:

Projekt jest krokiem we właściwym kierunku, lecz połowicznym. Odchodzi od najbardziej krytykowanych elementów poprzedniego rozporządzenia, dla przykładu nie próbuje już narzucać technicznych rozwiązań sprzętowych, sposobów organizacji baz danych i szczegółowych rozwiązań mających zapewnić ciągłość działania serwisu. Bardzo pożądaną zmianą jest również jednoznaczne dopuszczenie do integracji własnej informacyjnej strony danego podmiotu z funkcją podmiotowego BIP.

Trudno jednak nie dostrzec, że pominięto wiele propozycji zawartych w „Białej Księdze Nowego BIP”, opracowanej w wyniku szerokiej dyskusji z udziałem wszystkich zainteresowanych środowisk. Zdajemy sobie sprawę, że najdalej idące propozycje z „Białej Księgi” wymagają zmian ustawowych, większość z nich można by jednak przynajmniej częściowo uwzględnić w rozporządzeniu.

Projekt całkowicie pomija kilka istotnych problemów. Zdaniem ISOC szczególnie istotne są dwa z nich:

  • potrzeba udostępnienia informacji nie tylko w formie wygodnej do wizualnego przeglądania, ale także do integracji i dalszego przetwarzania, a więc w ujednoliconym formacie (Schema i/lub DTD) opartym na XML precyzyjnie określającym znaczenie poszczególnych zapisów, a więc ich strukturę semantyczną, a niezależnie od tego w formie prostego strumienia informacji (RSS i/lub Atom).
  • potrzeba zapewnienia dostępności serwisu dla osób niepełnosprawnych oraz dla osób korzystających z mniej popularnych, ale zgodnych ze standardami narzędzi. Wydaje nam się konieczne jasne określenie, że dostępności dla niepełnosprawnych zapewnia się przez stosowanie odpowiednich standardów w przygotowaniu głównego serwisu, a nie przez wdrażanie specjalizowanych, odrębnych rozwiązań „dla niewidomych”, „dla niesłyszących” i „dla nie rozróżniających kolorów”, zwłaszcza jeśli wymagają one wykorzystania przez użytkownika specjalizowanych narzędzi.

Projekt nie określa także jasno ogólnej wizji organizacji BIP. Z jednej strony część nowych zapisów wydaje się zmierzać ku ułatwieniu prowadzenia strony BIP przez sam podmiot w powiązaniu z jego podstawową stroną podmiotową, a z drugiej strony niepotrzebnie wysokie wymogi postawione w zakresie codziennej analizy kronik (§17 ust. 3), codziennego sporządzania kopii zapasowych (§19) oraz przywrócenia pracy serwisu w ciągu 24 godzin (§20) w praktyce zmuszają wszystkie podmioty utrzymujące BIP do ulokowania serwera BIP w zewnętrznych centrach serwerowych, gdyż większość takich podmiotów nie utrzymuje i nie potrzebuje dyżuru technicznego w soboty i niedziele. Jeśli taki jest zamiar autorów rozporządzenia, to lepiej napisać wprost, że podmiot prowadzący BIP ma obowiązek skorzystać z usług profesjonalnych dostawców tego rodzaju rozwiązań.

Niektóre z zawartych w projekcie rozwiązań i sformułowań wymagają większej precyzji lub rozważenia ich założeń merytorycznych oraz praktycznych skutków:

  1. Odwołanie się do ogólnego rozporządzenia o minimalnych wymaganiach dla systemów teleinformatycznych uważamy za właściwą metodę budowy prawa, ale w obowiązującej wersji jest ono zdaniem środowiska informatycznego niedoskonałe. Prowadzi to więc do wątpliwych technicznie lub nieprecyzyjnych wymogów dla BIP.
  2. Rozporządzenie nakłada wymóg umożliwienia czytelnego wydruku, ale pomija – o czym już wspomnieliśmy – wymóg udostępnienia jej w formie możliwej do dalszego przetwarzania i integrowania.
  3. Zbyt szczegółowy i lekko anachroniczny wydaje się wymóg podania numeru faksu, jeśli nie wymaga się równocześnie np. adresu standardowego komunikatora ( w formacie XMPP, zwanym też jabber).
  4. Rozumiemy intencje zakazu reklamy, ale podzielamy wątpliwości co do określenia jego granic. Dla przykładu rozporządzenie zarazem nakazuje i zakazuje ujawniania nazw i danych kontaktowych podmiotów, które wykonały dany serwis BIP i zarządzają nim.
  5. §16 ust. 2 zbyt szczegółowo określa metody redagowania serwisu. Wiele systemów publikacyjnych nie ma „modułu administracyjnego” wydzielonego w sposób dostrzegalny dla użytkownika.
  6. §17 ust. 3 nakłada wymóg codziennej analizy kronik, w tym także w dni wolne od pracy. W praktyce ruch na wielu stronach BIP jest umiarkowany i wystarcza cotygodniowa analiza kronik.
  7. Nie jest dla nas jasne znaczenie sformułowanego w §18 obowiązku wdrożenia „rozwiązania technicznego pozwalającego na odseparowanie informacji publicznych zawartych w BIP od sieci Internet”. Obowiązek ten rozumiany dosłownie oznacza zakaz publikacji BIP w internecie. Jeśli zaś oznacza to wymóg należytej staranności w ochronie dokumentów, to nie jest on specyficzny dla BIP i spoczywa na każdym, komu dokumenty powierzono.
  8. Podobne uwagi można odnieść do §19, który postuluje kopiowanie treści BIP na „odrębny elektroniczny nośnik informacji”. Nie jesteśmy pewni, jakie metody tworzenia kopii zapasowych spełniają ten wymóg.
  9. Kopiowanie to ma odbywać się ‘nie rzadziej niż raz na dobę”, a więc także w dni wolne od pracy, w których wystąpienie wymagających dokumentowania zmian w treści BIP jest bardzo mało prawdopodobne.
  10. W §20 zapisano, że strony BIP „zawierają rozwiązania chroniące przed spowolnieniem lub uniemożliwieniem dostępu”. Jedyne tego typu rozwiązanie, które może być zawarte na samej stronie BIP, to prośba o modlitwę w intencji jej sprawnego działania. Intencja ta wydaje się szlachetna, ale mamy trudności z przełożeniem tak zapisanego postulatu na standardy dobrych praktyk fachowych: jak administrator pojedynczego serwera może uchronić serwis wobec skoordynowanego ataku typu DOS lub poważnej awarii sieci szkieletowej? Nawet dla największych portali takie sytuacje są trudne do opanowania.
  11. Wydaje się, że nie zostały przemyślane konsekwencje wymogu przywrócenia serwisu w ciągu 24 godzin (§22 ust. 2). Przywrócenie serwisu po poważnej awarii nie później niż następnego dnia bywa wyzwaniem nawet dla dużych światowych portali. W dni wolne od pracy jest możliwe tylko dla operatorów profesjonalnych centrów serwerowych, zwłaszcza że rozporządzenie nie dopuszcza planowanych przerw serwisowych. Racjonalny wydaje się termin 2 dni roboczych lub choćby 48 godzin.
  12. Dwie sugestie językowe: w rozporządzeniu aktywny odnośnik nazywany jest „hiperłączem”. Termin ten nie jest zdefiniowany, a w słowo takie nie występuje ani w języku polskim (w którym mogłoby ono brzmieć „hiperłącze”, gdyby takie słowo miało jakieś znaczenie), ani w angielskim. W istocie nie rozumiemy, cóż takiego „hiper” jest w zwykłym odnośniku. Ponadto w naszej opinii ogół publicznych sieci TCP/IP to dziś po prostu internet, z małej litery.

Na koniec dodam, że w pełni podzielamy uwagi i opinie stowarzyszenia ISACA.

(w imieniu Zarządu podpisał Władysław Majewski)