Stanovisko ČAK k návrhu zákona o kybernetické obraně
Stanovisko České advokátní komory k návrhu zákona, kterým se mění zákon č. 289/2005 Sb., o Vojenském zpravodajství, ve znění pozdějších předpisů, a některé další zákony (sněmovní tisk 931)
Poslanecká sněmovna dne 25. 10. 2016 projednala v prvním čtení vládní návrh zákona, kterým se mění zákon č. 289/2005 Sb., o Vojenském zpravodajství, ve znění pozdějších předpisů, a některé další zákony. Návrh zákona je rozsáhle odůvodňován potřebou obrany proti kybernetickým útokům. K reálnosti tohoto argumentu se lze vyjádřit jen obtížně, neboť k tomu chybí jakékoli podklady, ale v zásadě zřejmě není důvod toto tvrzení zpochybňovat. Je toliko otázka, nakolik návrh vychází z nějaké koncepce či strategie budování kybernetické obrany ČR; je totiž nutné si uvědomit, že ČR jako malý stát nedisponuje dostatkem prostředků, aby se účinně ubránila všem (nebo většině) kybernetických útoků. Je tudíž nezbytné za tímto účelem vytvářet konkrétní aliance a kybernetickou bezpečnost budovat postupně a dlouhodobě s ohledem na mezinárodní koordinaci. Nejprve je třeba mít dlouhodobou jasnou strategii a pak je podle této strategie možné navrhovat změnu zákonů tak, aby se minimalizovaly zásahy do demokratických svobod občanů a současně se i minimalizovaly výdaje státu. Tento postup však z návrhu zákona ani z důvodové zprávy nelze vyčíst. Zároveň důvodová zpráva nenabízí dostatečný pohled na srovnatelnou zahraniční úpravu, byť konstatuje závěry některých mezinárodních summitů a organizací.
Česká advokátní komora si proto ještě v této fázi schvalování návrhu zákona dovoluje upozornit na několik otázek, které vznikají kolem jeho obsahu:
1. Novelizace zákona je koncepčně zcela odtržená od dosavadní ochrany kybernetického prostoru České republiky. V současné době má klíčovou roli v oblasti kybernetické bezpečnosti Národní bezpečnostní úřad. Nově by vedle něj měla disponovat významnými kompetencemi též jedna ze zpravodajských služeb České republiky, jejíž účel je zcela jiný – zpravodajsky zabezpečovat ochranu České republiky. Je tedy otázkou, zda a proč má Vojenské zpravodajství plnit úkoly obrany České republiky v kybernetickém prostoru. Přestože ust. § 5 odst. 4 zákona č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů, připouští, aby zpravodajské služby plnily další úkoly, pokud tak stanoví zvláštní zákon nebo mezinárodní smlouva, jíž je Česká republika vázána, je ze zákonné koncepce činnosti zpravodajských služeb jasné, že těžiště jejich poslání spočívá v získávání, shromažďování a vyhodnocování informací, u Vojenského zpravodajství pak ve vztahu k obraně ČR. V rozporu s tímto se v předloženém návrhu zákona hovoří o tom, že „provádění kybernetické obrany by alespoň v určitém rozsahu aktivní činností přesahující rámec zabezpečování informací bylo“. Je tedy otázkou, zda je Vojenské zpravodajství tou správnou složkou, která má tento úkol plnit. V této souvislosti je třeba zdůraznit, že zde v nedávné minulosti byl vybudován systém kybernetické bezpečnosti v struktuře podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti (Národní bezpečnostní úřad – Národní centrum kybernetické bezpečnosti – Vládní CERT – Národní CERT) a bylo by logické svěřit rozšíření kompetencí v této oblasti, pokud bude konstatováno, že jsou nezbytná, NBÚ a výše uvedeným strukturám. A contrario, pokud by převážilo hledisko takové, že se jedná o „zajištění obrany ČR“, pak ve smyslu ust. § 3 odst. 1 zákona č. 219/1999 Sb., o ozbrojených silách České republiky, ve znění pozdějších předpisů by měla být tímto úkolem pověřena armáda ČR. Zákon tak nijak nedefinuje rozhraní pravomocí mezi orgány, které jsou již podle stávající právní úpravy vybaveny prostředky určenými k ochraně kyberprostoru ČR (a jejichž použití je v případě zásahu do ústavou chráněných základních práv na schválení nezávislého soudu) od pravomocí Vojenského zpravodajství, jenž má disponovat prostředky určenými k aktivní obraně v kyberprostoru, které však v jakési obecné pozici schvaluje vláda.
2. Novela zákona umožňuje Vojenskému zpravodajství (jež je sice zákonem zřízenou, nicméně pouhou složkou ministerstva obrany ČR) užívat tzv. technické prostředky kybernetické obrany. Definice těchto prostředků je vágní, možná i tautologická, neboť technickými prostředky kybernetické obrany se podle ust. § 16a odst. 2 návrhu zákona rozumí „věcné technické prostředky vedoucí k předcházení, zastavení nebo odvrácení kybernetického útoku ohrožujícího zajišťování obrany České republiky“. Jde o velmi neobratnou formulaci, která ad absurdum připouští použití jakéhokoliv technického prostředku. Již takto samo o sobě formulované oprávnění, které je co do použitelných technických prostředků v podstatě neomezené, musí nutně znepokojovat. Důvodová zpráva pak toliko konstatuje, že je není možné popisovat, protože by se tím tyto prostředky zveřejňovaly, včetně dotčených rizik. Toto odůvodnění je však zcela mimo požadavky demokratického právního řádu. V obecné rovině je možné jistě uvést, co mohou tyto zpravodajské prostředky činit a jak budou aplikovány, zejména pak v jakých situacích, aniž by tím bylo zpochybněno jejich budoucí použití. Novela je ostatně postavena na důrazu na sledování, monitoringu, ne již tolik na aktivním zásahu zákonem vymezenými prostředky. Jako taková nepřinese žádný posun k aktuálním otázkám kybernetické ochrany, pouze rozvolní ústavou zaručenou ochranu veřejnými sítěmi přenášených informací a vytvoří nástroj jejich možného zneužití bez efektivní kontroly ze strany nezávislého orgánu. Že Vojenské zpravodajství je zneužitelným nástrojem, ukázala nedávná praxe.
3. Podle důvodové zprávy k předloženému návrhu zákona „Není primárním účelem technických prostředků kybernetické obrany zjišťovat obsah datového provozu konkrétních uživatelů, tyto aktivity, budou-li to technické prostředky kybernetické obrany vůbec umožňovat, bude moci Vojenské zpravodajství i nadále provádět výhradně a pouze v intencích pravidel pro použití zpravodajské techniky , a tedy na základě povolení soudce, který takovéto povolení vydá jedině při splnění zákonných předpokladů“ (§ 10 zákona č. 289/2005 Sb., o Vojenském zpravodajství). Již z tohoto textu je však zjevné, že je to možné. Ustanovení § 16a odst. 3 návrhu zákona navíc nemá žádný obranný mechanismus, a to ani ze strany kontrolního orgánu, tím méně pak ze strany dotčených osob (provozovatele služeb, osoby, jíž se komunikace týká). Pokud se však zároveň novelou zákona o elektronických komunikacích zřizuje povinnost osobám zajišťujícím síť elektronických komunikací a osobám poskytujícím službu elektronických komunikací zřídit a zabezpečit ve vhodných bodech své sítě rozhraní pro připojení technických prostředků kybernetické obrany, vzniká situace, která umožňuje Vojenskému zpravodajství nejen monitorovat obsah komunikace, nýbrž i aktivně vstupovat do přenosu dat, pozměňovat jej, ukončovat jej atp., a to vše bez vědomí operátora a bez vědomí adresáta komunikace. Taková úprava vzbuzuje pochybnosti ohledně rozporu s mezinárodními závazky České republiky (zejména čl. čl. 8 odst. 1, 6 odst. 1 a čl. 13 Úmluvy o ochraně lidských práv) i s vlastním ústavním pořádkem.
4. Jakkoli by použití technických prostředků kybernetické obrany mělo být pod kontrolou Vrchního soudu v Praze (za podmínky, že se jejich prostřednictvím zasahuje do občanských práv), zůstává ohledně ust. § 16a odst. 3 návrhu určitá diference budící pochybnost o dostatečnosti ochrany těchto základních práv. Je nesporné, že důvěrnost zpráv podle zákona o elektronických komunikacích a s nimi spojených provozních a lokalizačních údajů je chráněna stejně jako základní práva a svobody; problém je však v tom, že nikdo neví, co vlastně tyto technické prostředky kybernetické obrany mají znamenat a jak mají působit. V rámci odborného prostředí je nepochybně známo, jak rámcově fungují ty technické prostředky a zařízení, které jsou vyjmenovány v § 8 odst. 1 zákona. Co je ale míněno pojmem technické prostředky kybernetické obrany, jak výše uvedeno, asi nikdo neví ani rámcově a tedy tak, aby bylo možné posoudit, zda sám o sobě souhlas s použitím těchto technických prostředků je dostatečný bez například dalších omezení.
5. Z obsahu návrhu zákona není dále jasné, zda následné připojení technického prostředku Vojenského zpravodajství bude v síti umístěno nastálo nebo nárazově, byť jde o prostředek, jehož použití je schvalováno vládou, není zřejmé, zda a v jaké míře je vláda povinna tento krok konkretizovat. A protože vláda není správním orgánem, proti jejímu rozhodnutí není opravný prostředek. Navíc není jasné, pokud půjde o zařízení způsobilé monitorovat nejen tzv. metadata, nýbrž i obsah komunikace, kdo a v jaké chvíli určí, kdy nastává okamžik, kdy musí vojenské zpravodajství požádat o povolení k monitorování obsahu dopravovaných zpráv a jak s těmito údaji smí dál naložit. Operátoři tak již nebudou schopni zaručit plnou důvěrnost komunikace zákazníků. Ústavně garantovaná ochrana listovního tajemství tak bude jednoznačně porušena.
6. Česká advokátní komora je samosprávnou stavovskou organizací všech advokátů; zároveň jde o orgán veřejné moci, kterému stát svěřil výkon veřejné moci na úseku advokacie. Z tohoto důvodu ČAK považuje za legitimní upozornit v rámci legislativního procesu na potenciální nebezpečí, které návrh zákona představuje pro ústavou chráněnou důvěrnost komunikace mezi advokátem a klientem, a to v rozsahu judikovaném jak Ústavním soudem ČR, tak Evropským soudem pro lidská práva. Znovu se tak do popředí dostává otázka výběru mezi bezpečností a ochranou demokratických hodnot a právního státu. Jakkoliv je snaha veřejné moci zvýšit bezpečnost občanů země pochopitelná a co do sledovaného cíle legitimní, pouze jasně vymezené zákonné limity této snahy a zakotvení důsledných a efektivních kontrolních mechanismů zajistí potřebnou míru bezpečnosti při zachování ústavních práv a svobod. Předmětný návrh je proto podle našeho názoru potřeba zhodnotit z hlediska dostatečné ochrany těchto nedotknutelných zásad demokratického právního státu. Lze v této souvislosti připomenout citát Benjamina Franklina – kdo vymění svobodu za trochu bezpečí, ten si nezaslouží svobodu ani bezpečí.
7. Odhlédnout přitom nelze ani od aktuálních rozhodnutí Soudního dvora EU, který se mj. zabýval otázkou přiměřenosti použití hromadných sledovacích nástrojů a moderních sledovacích technik ve vztahu k ochraně soukromí. Ve svém rozhodnutí sp. zn. C‑203/15 a C‑698/15 ze dne 21. prosince 2016 soud zdůraznil, že moderní vyšetřovací nástroje jsou nezbytné pro boj s organizovaným zločinem a terorismem, ale zároveň uvedl, že tato nezbytnost nemůže ospravedlnit neomezené shromažďování dat. Soud konstatoval, že shromažďování dat musí být toliko adresné a musí se dít na základě souhlasu soudu nebo nezávislého orgánu veřejné moci s tím, že po skončení vyšetřování mají osoby, ohledně kterých byla data shromažďována, právo být o těchto skutečnostech informovány. Vlastní text rozhodnutí je publikován např. ZDE. Domníváme se, že v daném rozhodnutí jde o obdobné principy, na kterých je postaven tisk 931 a je nezbytné toto zohlednit v rámci legislativního procesu.
