K návrhu šmírovací novely zákona o Vojenském zpravodajství a dalších zákonů

3. 1. 2017 | 11:11

Yuri Samoilov - System LockNávrh novely zákona o Vojenském zpravodajství a některých dalších zákonů dává Vojenskému zpravodajství nové pravomoci související se zajišťováním kybernetické obrany. Otázkou zůstává, co konkrétně bude Vojenské zpravodajství v kyberprostoru dělat, s jakými informacemi bude pracovat, co vše bude považováno za kyber útok a jak na tyto útoky bude reagovat. Pak je zde samozřejmě ještě jedna důležitá otázka, jak v praxi bude fungovat Listinou základních práv a svobod garantované listovní tajemství, které lze dnes vztáhnout i na veškerou internetovou komunikaci. Samotný návrh zákona ani důvodová zpráva konkrétní odpovědi bohužel nedávají a zůstává z valné většiny u velmi vágních pojmů a formulací, což je odůvodněno potřebou utajení konkrétních opatření.

Nejdůležitější pravomocí je právo požadovat od poskytovatelů služeb elektronických komunikací či sítí elektronických komunikací zřízení a zabezpečení rozhraní pro připojení vlastních technických prostředků kybernetické obrany. Tomu pak odpovídá povinnost poskytovatelů zakotvená v novém § 98a zákona o elektronických komunikacích pod sankcí toto připojení umožnit a zachovávat o něm mlčenlivost.

Lze jen obtížně hodnotit, nakolik konkrétní aktivity Vojenského zpravodajství prováděné na základě tohoto zákona budou zasahovat do práva na ochranu soukromí a informačního sebeurčení nás všech. Věnovat se budu jednomu z aspektů kybernetické obrany, kterým je monitoring, ponechme stranou další nástroje včetně aktivních zásahů, o nichž se ovšem v zákoně i důvodové zprávě dočteme opravdu málo a o jejichž podobě tak lze jen spekulovat.

V současné době je k zajištění odposlechu nebo získání provozních a lokalizačních údajů zpravodajskými službami potřeba povolení soudu. Bez tohoto povolení provider informace nepředá nebo neumožní nasazení zpravodajské techniky. Na základě této novely bude technika Vojenského zpravodajství nasazena bez jakéhokoli soudního povolení a to, co vlastně zpravodajská služba sleduje a co se získanými informacemi dále dělá, jakým způsobem je analyzuje, propojuje s dalšími informacemi, nebude možno fakticky nijak kontrolovat. V zákoně sice bude zakotvena obecná povinnost v případě, pokud lze očekávat, že bude narušena důvěrnost zpráv podle zákona o elektronických komunikacích a s nimi spojených provozních a lokalizačních údajů konkrétní osoby, žádat také o soudní povolení, otázkou ale je, jak bude vypadat výklad v praxi.

Už samotná formulace „provozní a lokalizační údaje konkrétních osob“ nedává smysl a vede k pochybnostem o kompetentnosti těch, kdo návrh připravovali. Osoba není počítač, nemá provozní ani lokalizační údaje, správně by tedy měla věta znít „provozní a lokalizační údaje vážící se ke komunikaci konkrétní osoby“.

A pak zde máme problém, na nějž nepochybně také praxe narazí. Kdo je to konkrétní osoba? Jistě se zde setkáme s argumentem, že IP adresa, i když by nám třeba identifikovala konkrétní zařízení, nám ne nutně identifikuje i konkrétní osobu. V praxi je řada případů, kdy můžeme osobu identifikovat s různou mírou jistoty a to i kombinací informací, které získáváme z řady různých zdrojů. Kdy se pak zpravodajská služba bude obracet na soud?

To jak to bude s informacemi, které se budou shromažďovat ostatně naznačují sami předkladatelé v důvodové zprávě, když přirovnávají práci s informacemi k úsekovému měření rychlosti, kdy se nejprve zajistí informace o všech vozidlech, ale dále jsou rozpracována jen ta, co překročí rychlost. Máme tomu tedy rozumět tak, že se zajistí plošně informace o veškerém internetovém provozu, přičemž k dalším krokům nutným k identifikaci konkrétních osob se přikročí až u zájmových informačních toků? A v jaké fázi zde bude žádáno o soudní povolení, pokud jsme teoreticky schopni za pomocí dalších informací identifikovat s vyšší pravděpodobností i osoby, které stojí za informačními toky, které nás nezajímají? Správně by tomu mělo být už předtím, než ke komunikaci dojde, a to i v případě, kdy nakonec identifikaci osob neprovedeme, tedy pro srovnání než nám automobil projede pod kamerami úsekového měření, aniž by překročil rychlost. Takové soudní povolení je ale jen těžko představitelné, pokud nevíme nic o tom, kdo bude komunikovat, a že vůbec komunikovat bude. Může tedy vůbec Vojenské zpravodajství v praxi vyhovět požadavkům předloženého zákona, pokud jde o monitorování internetového provozu?  A nejsou pro účel monitorování kybernetických útoků či incidentů dostačující povinnosti uložené v zákoně o kybernetické bezpečnosti bez nutnosti napojování technických zařízení zpravodajských služeb do sítí providerů?

Jestliže dnes je důležitým regulativem nadužívání zásahů do soukromí nutná spolupráce se soudem a s providerem, který v konkrétním případě umožňuje nasazení zpravodajské techniky nebo předává provozní a lokalizační údaje, a jehož přirozeným zájmem je chránit soukromí svých klientů a pohlídat existenci a kvalitu soudního povolení, tak napříště bude spor o to, kdy už jde o zásah do soukromí a kdy ještě ne, řešit zpravodajská služba sama. Vzhledem k tomu, že primárním zájmem zpravodajských služeb je získávání informací, je nasnadě, jak bude tento spor vyřešen, zvlášť když zpravodajským službám stále chybí efektivní kontrola, a když se „konkrétní osoby“ o jejichž komunikaci půjde o zájmu zpravodajských služeb o svoji osobu nikdy nedozví.

Návrh zákona tedy představuje obrovský prostor pro zneužití, u něhož je jen obtížně představitelné, že by ze strany Vojenského zpravodajství, mimochodem držitele anticeny pro Úředního slídila za rok 2013 za své angažmá v kauze Nagyová, nebyl využit k obcházení soudních povolení pro nasazování zpravodajské techniky či zjišťování informací o elektronických komunikacích.

Výzvu proti novele zákona o Vojenském zpravodajství a souvisejících zákonech můžete podepsat na adrese https://prichazi.rozvedka.cz.

 

Jan Vobořil, Iuridicum Remedium, Vydáno pod licencí Creative Commons – Attribution 4.0

Obrázek: "System Lock", autor Yuri Samoilov, vydáno pod licencí CC BY 2.0
 

Kdo jsme

  • Tento web provozuje iure, neziskovka zabývající se ochranou občanských svobod.
     

Logo IuRe


 

Naše další weby

vttip.cz

bba web

IuRe je členem

Internet Defense League