do ministra cyfryzacji
w sprawie udostępnienia kodu źródłowego aplikacji mObywatel
Zgłaszający: Paulina Matysiak
Data wpływu: 10-07-2025
Szanowny Panie Ministrze,
obowiązek publikacji kodu źródłowego aplikacji mObywatel wynika z ustawy z dnia 26 maja 2023 r. o aplikacji mObywatel. Poprawka zobowiązująca ministra właściwego ds. informatyzacji do udostępnienia kodu źródłowego w terminie 12 miesięcy od wejścia w życie ustawy i kodu jego aktualnych wersji w terminie 14 dni od ich publikacji została przyjęta przy poparciu zdecydowanej większości posłów. Jej przyjęcie spotkało się z pozytywnym odbiorem wśród środowisk zainteresowanych prywatnością i transparentnością działania państwa.
Treść art. 82 ustawy o aplikacji mObywatel została jednak zastąpiona art. 81a uzależniającym publikację kodu źródłowego od uzyskania opinii CSIRT GOV, CSIRT MON i CSIRT NASK i wyłącznie „w zakresie niezagrażającym bezpieczeństwu tej aplikacji oraz jej użytkowników lub systemu mObywatel”, pozbawiając ustawę jakiegokolwiek terminu publikacji kodu źródłowego. Zmiana ta została wprowadzona po cichu w niezwiązanej przedmiotowo ustawie z dnia 15 maja 2024 r. o zmianie ustawy o pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym na terytorium tego państwa oraz niektórych innych ustaw. Jednocześnie uchylono ust. 2 w art. 21 ustawy o aplikacji mObywatel, sprawiając, że ustawowy obowiązek może zostać wypełniony przez jednorazową publikację fragmentu kodu źródłowego bez późniejszego udostępniania jego aktualnych wersji.
Publikacja kodu źródłowego aplikacji pozwoliłaby zainteresowanym na wgląd w jego treść, prowadzenie niezależnych audytów, przyczyniając się do zwiększenia transparentności działań rządu i osłabiając powstawanie teorii spiskowych dotyczących aplikacji mObywatel. W dalszej perspektywie udostępnienie kodu źródłowego na licencji wolnego oprogramowania z wykorzystaniem systemu kontroli wersji może pozwolić na sugerowanie zmian czy współtworzenie kodu przez społeczność – tak jak w przypadku ukraińskiego odpowiednika mObywatela, czyli aplikacji Diia.
Obowiązek publikacji kodu źródłowego dotyczy wyłącznie „aplikacji mObywatel”, definiowanej w ustawie jako „oprogramowanie przeznaczone dla urządzeń mobilnych, w którym są udostępniane usługi […]”, więc wyłącznie to, które znajduje się już na urządzeniach użytkowników końcowych w formie kodu bajtowego (w przeciwieństwie do „systemu mObywatel”, czyli „systemu teleinformatycznego zapewniającego funkcjonalności niezbędne do działania aplikacji mObywatel oraz usług udostępnianych w tej aplikacji”). Publikacja kodu w formie czytelnej dla człowieka nie tworzy więc nowych zagrożeń, przed którymi hipotetycznie mogłoby zabezpieczyć jego nieujawnienie. Jednocześnie w mediach pojawiają się przesłanki sugerujące, że kod aplikacji mObywatel nie zostanie ujawniony „z uwagi na bezpieczeństwo aplikacji”.
W związku z powyższym, działając na podstawie art. 14 ust. 1 pkt 7 ustawy z dnia 9 maja 1996 r. o wykonywaniu mandatu posła i senatora (t.j. Dz. U. z 2024 r. poz. 907), proszę o udzielenie odpowiedzi na następujące pytania:
Z wyrazami szacunku
Paulina Matysiak
Posłanka na Sejm RP