Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



14.07.2021

Platforma AQUILA

IBM zaprezentował platformę opartą na sztucznej inteligencji służącą do kompleksowej, w...
14.07.2021

Przenoszenie Javy do chmury

JBoss Enterprise
14.07.2021

Nowe okna

Windows 11
14.07.2021

Monitoring sieci

nVision 12.5
14.07.2021

Automatyczna ochrona

Nowości w FortiEDR
14.07.2021

Seria monitorów...

Firma Newline prezentuje serię monitorów interaktywnych MIRA.
14.07.2021

Modularne routery IoT

Cisco Catalyst
14.07.2021

Nowy poziom pracy

Radeon PRO W6000
14.07.2021

SI w monitoringu

Kamery i-PRO S-Series

Oprogramowanie jako produkt podwójnego zastosowania

Data publikacji: 28-12-2020 Autor: Magdalena Gąsowska-Paprota

Nawet jeśli program komputerowy nie jest związany z technologią wojenną czy obronnością kraju, może zostać sklasyfikowany jako produkt podwójnego zastosowania. Jeśli dodatkowo podlega importowi lub eksportowi, podmiot za niego odpowiedzialny musi stosować się do odpowiednich regulacji prawnych.

 

Ze względu na wysoki stopień skomplikowania przepisów dotyczących prezentowanej materii, a także charakter publicystyczny niniejszego tekstu, konieczne jest zastrzeżenie, że treść artykułu nie może stanowić wyczerpującego źródła informacji dla ustalenia wszystkich obowiązków związanych z obrotem produktami w nim opisywanymi. W każdym rozważanym przypadku wymagana jest bowiem szczegółowa oraz specjalistyczna ocena, przeprowadzona z uwzględnieniem jednostkowej sytuacji oraz okoliczności jej towarzyszących.

 

> PRODUKTY PODWÓJNEGO ZASTOSOWANIA

 

Pod angielskim terminem dual-use (dosłownie „podwójne zastosowanie”) kryją się produkty, które oprócz swego zwykłego przeznaczenia cywilnego mogą mieć również zastosowanie wojskowe. Mają one więc znaczenie strategiczne dla bezpieczeństwa państwowego – dlatego podlegają określonym ograniczeniom eksportowym i importowym. W ramach Unii Europejskiej istnieje jednolity system kontroli obrotu produktami podwójnego zastosowania z krajami spoza UE, a podstawowym aktem prawnym, który go reguluje, jest unijne Rozporządzenie Rady (WE) nr 428/2009 z dnia 5 maja 2009 r. (Rozporządzenie Rady (WE) nr 428/2009 z dnia 5 maja 2009 r. ustanawiające wspólnotowy system kontroli wywozu, transferu, pośrednictwa i tranzytu w odniesieniu do produktów podwójnego zastosowania (wersja przekształcona (DzU UE. L. z 2009 r. Nr 134, s. 1 z późn. zm.), dalej jako „Rozporządzenie 428/2009”).

 

Rozporządzenie 428/2009 już w definicji „produktów podwójnego zastosowania” wskazuje na objęcie nimi również oprogramowania – „produkty, włącznie z oprogramowaniem i technologią, które mogą być stosowane zarówno w celach cywilnych, jak i wojskowych, oraz obejmują wszystkie towary, które mogą być użyte zarówno w zastosowaniach niewybuchowych, jak i w jakikolwiek sposób do wspomagania wytwarzania broni jądrowej lub innych urządzeń do wybuchu jądrowego”. Chcąc ustalić, jakie konkretnie produkty mogą stanowić dual-use, należy posłużyć się znajdującym się w Rozporządzeniu 428/2009 wykazem produktów podwójnego zastosowania. Jest to obszerna lista, w której ustanowione są specjalne kody dla poszczególnych rodzajów produktów, w zależności od ich rodzaju i przeznaczenia. Na podstawie tego spisu produktom nadawane są tzw. numery kontrolne, składające się z czterech cyfr i jednej litery. Ta klasyfikacja podzielona jest na 10 kategorii produktów oznaczonych numerami od 0 do 10, a te kategorie dzielą się dalej na grupy oznaczone literami od A do E. Kategorie określają przeznaczenie produktów – np. kategoria 0 oznacza materiały, instalacje i urządzenia jądrowe, kategoria 8 oznacza urządzenia okrętowe, kategoria 5 to telekomunikacja i ochrona informacji. Grupy oznaczone literami określają rodzaj produktu, np. grupa A to systemy, urządzenia i części, a grupa D to właśnie oprogramowanie. Europejska klasyfikacja produktów podwójnego zastosowania wynikająca z Rozporządzenia 428/2009 jest nota bene zasadniczo zbieżna z klasyfikacją przyjętą w amerykańskich regulacjach eksportowych (Export Administration Regulations).

 

Zgodnie z klasyfikacją produktów dual-use oprogramowanie może stanowić produkt podwójnego zastosowania, ilekroć jest przeznaczone do użytkowania, produkcji czy rozwoju technologii bądź produktów np. jądrowych, związanych z lotnictwem czy kosmonautyką. Te kategorie produktowe w dość oczywisty sposób wiążą się ze sferą wojskową, dlatego nie dziwi fakt, że związane z nimi oprogramowanie również objęte jest kontrolą obrotu. Dużo mniej intuicyjne jest natomiast to, że w konsekwencji objęcia klasyfikacją dual-use również technologii związanych z ochroną informacji produktem podwójnego zastosowania może stać się oprogramowanie realizujące funkcje kryptograficzne, czyli szyfrujące, służące do ochrony informacji. Nawet jeśli jest to funkcja poboczna w stosunku do głównego zastosowania oprogramowania, niedeterminująca wojskowego charakteru produktu. Jeśli oprogramowanie wykorzystujące szyfrowanie zostanie sklasyfikowane pod numerem kontrolnym 5D002, czyli objęte jest częścią 2 kategorii 5 wykazu grupującego produkty – funkcjonuje jako „ochrona informacji”, a więc podlega pod obostrzenia związane z dual-use.

 

Pojawia się zatem rozterka – przecież znaczna część powszechnie występujących na rynku produktów softwarowych ma opcję szyfrowania danych. Czy wszystkie te programy należy uznać za produkty podwójnego zastosowania, których eksport lub import podlega kontroli? Zgodnie z literą prawa – nie wszystkie, od reguły zdarzają się wyjątki. Po pierwsze, klasyfikacją produktów podwójnego zastosowania objęto takie oprogramowanie, którego funkcja kryptograficzna spełnia określone kryteria – musi ona wykorzystywać symetryczną długość klucza przekraczającą 56 bitów lub równoważną. Wiele standardowo wykorzystywanych protokołów kryptograficznych spełnia jednak i tę cechę (np. AES 128, 1024 RSA czy 1024 DH), dlatego istotniejsze wydaje się drugie zastrzeżenie.

 

[...]

 

Radca prawny w kancelarii Traple Konarski Podrecki i Wspólnicy, w ramach zespołu IT-Tech specjalizuje się w obsłudze klientów z branży IT i telekomunikacji.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"