(10.20 hodin)
(pokračuje Kopřiva)
Jenom chci deklarovat, že tedy to, co teď shrnu: nejdřív řeknu, co se povedlo opravit v zákoně, potom, co se z našeho pohledu nepovedlo, a pak se ještě vyjádřím k pozměňovacím návrhům jak ústavně-právního výboru, tak k těm pěti našim. Takže ne vždycky srovnávám komplexní pozměňovací návrh s tím sněmovním tiskem, ale i s těmi předchozími verzemi, co se tam třeba povedlo vyjednat vlastně už do komplexního nebo už i do sněmovního tisku.
Jako zásadní úspěch vnímáme, že se podařilo jasně vymezit, co detekční zařízení nebo dříve sondy mají vlastně sledovat v internetových kabelech, když to řeknu lidově, v internetové komunikaci, protože tam původně byl pojem neadresná data, což by mohlo i naznačovat, že se třeba může jednat o sledování přímo obsahu komunikace uživatelů na internetu. Nakonec se to podařilo přeformulovat na metadata. Je tam hezká definice metadat, která zaručuje, že detekční zařízení budou sledovat pouze provoz a metadata, nikoli obsah, což pomůže Vojenskému zpravodajství naplnit jejich úkol, ale zároveň to je dobrá pojistka, že se nebude sledovat přímo obsah komunikace uživatelů.
Další věc je, že se povedl změnit model, kdy Vojenské zpravodajství samo říkalo, že chce jednat s operátory, s provozovateli sítí jako s rovnými partnery, takže vlastně došlo trochu k převrácení toho modelu, že se tam nebude a priori v první řadě umísťovat nástroj detekce, ale že bude moct Vojenské zpravodajství uzavřít smlouvu s provozovateli sítě a budou moci spolupracovat víc jako partneři. Nebude to vlastně násilím montováno do komunikačních sítí, což je mnohem lepší model, když Vojenské zpravodajství bude partnerem pro provozovatele sítě.
Komplexní pozměňovací návrh také obsahuje výjimku z mlčenlivosti pro provozovatele sítě. Ti se nově budou moct obrátit na členy kontrolních orgánů, pokud by měli podezření, že Vojenské zpravodajství překročilo své pravomoce. To je další důležitá pojistka.
Původní návrh obsahoval také velmi nekonkrétní podmínky pro správní řízení s provozovateli, ve kterých by se rozhodovalo o umístění nástroje detekce v infrastruktuře provozovatelů sítě. Mezi náležitosti, které by muselo rozhodnutí o umístění nástroje detekce obsahovat, je doba, na kterou lze povinnost provozovatelům sítě uložit, a omezení, že rozhodnutí může ukládat umístění nástroje detekce na 12 měsíců s možností prodloužení na dalších 6 měsíců. Rozhodnutí musí nově také obsahovat další náležitosti podle správního řádu, což zvyšuje možnost přezkumu takového rozhodnutí.
Dále se povedlo do komplexního pozměňovacího návrhu vtělit rozšíření krytí škody na jakékoli škody vzniklé při výkonu kybernetické obrany, a to včetně nemajetkové újmy, což zlepšuje vymahatelnost možných škod při kybernetické obraně. Zase je to lepší pro provozovatele sítí.
Původní návrh obsahoval poměrně vysoké sankce, které byly stanoveny pro provozovatele na 50 milionů korun. V průběhu vyjednávání se podařilo dojednat snížení sankcí, aby skutečně odpovídaly možné závažnosti porušení zákona, takže nově tam je za některé skutkové podstaty navrženo 15 a 5 milionů korun.
Komplexní pozměňovací návrh lépe upravuje kompenzace, aby provozovatelům sítě vznikl nárok na všechny efektivně vynaložené náklady vzniklé při detekci v kybernetickém prostoru, nikoli jen náhradu provozních nákladů zachycených v účetnictví.
To jsou věci, které se podařilo do komplexního pozměňovacího návrhu vtělit a jsou to rozhodně kroky správným směrem.
Bohužel z pohledu Pirátské strany - a to je důvod, proč zákon jako celek nemůžeme nakonec i přes komplexní pozměňovací návrh podpořit - je jednak ta věc, že aktivní zásah, na kterém zákon stojí, je to gros toho návrhu, a my chceme, aby Vojenské zpravodajství mělo větší pravomoci v kybernetickém prostoru, a uznáváme, že je nutné, abychom se stejně jako v konvenčních doménách mohli bránit i v kyberprostoru. V komplexním návrhu došlo k lepšímu vymezení mantinelů. Jsou tam teď podmínky, že musejí být ohroženy důležité zájmy státu ve značném rozsahu, útok trvá nebo bezprostředně hrozí a nelze ho odvrátit jinak, a ty musejí být splněny kumulativně. Přesto tam zůstává problém, že ty podmínky jsou nedostatečné, že mohou být naplněny celou řadou i méně závažných situací. Jedním z problémů je například ten, že uvedené podmínky jsou mírnější, než by bylo ukládáno mezinárodním právem interpretovaným v takzvaném talinském manuálu, který kybernetické operace podle nás omezuje víc než předložený návrh. Tím pádem by podle nás mohlo dojít k situacím, kdy v národním prostředí, pokud dojde k atribuci útočníka, by mohly být použity tyto aktivní zásahy, přičemž by za stejných podmínek byl na mezinárodní úrovni stejný aktivní zásah považován za akt mezinárodní agrese v rozporu s Chartou OSN. Je to sporné. My respektujeme, že Vojenské zpravodajství tuto pravomoc potřebuje, nicméně představovali jsme si ještě o něco lepší vymezení aktivních zásahů. Je to přece jenom legislativní precedent do budoucna pro Vojenské zpravodajství. Na tom se skutečně ještě mohlo zapracovat.
Co je tam ještě problematické? Vlastně to byl krok zpět, protože Vojenské zpravodajství samo přistoupilo na lepší úpravu v zákoně, jak se má připojit detekční zařízení u provozovatele sítě. Ve sněmovním tisku, co přišel v březnu loňského roku, naopak bylo ustanovení, že detekční zařízení je připojeno odbočně a předává data pouze jednosměrně, což pro mapování komunikačních toků postačuje. Toto ustanovení taky vylučovalo používání aktivních sond nebo nástrojů detekce, protože aktivní sonda by byla zapojena in-line přímo v cestě a mohla by do komunikace teoreticky přímo vstupovat, třeba selektivně blokovat některé komunikační toky, například některé weby, nebo se vydávat za někoho z účastníků komunikace. A to opravdu není pro účely monitoringu kybernetického prostoru potřeba. Ačkoli předložený návrh vylučuje možnost provádět aktivní zásahy přímo pomocí detekčních zařízení - a to je správně, z komplexního pozměňovacího návrhu bohužel vypadlo vhodné doplnění o odbočném připojení detekčního zařízení, což je krok zpět a vlastně to opět v podstatě zamlžuje definici detekčního zařízení, respektive jak má být umísťováno.
Poslední věcí, která zůstává trochu problematická, a zase naprosto chápeme, že tajné služby mají spolupracovat se zahraničními partnery a zvyšuje to efektivitu kybernetické obrany, nicméně vyžaduje to mezinárodní spolupráci na poměrně vysoké úrovni, předávají se poměrně citlivé údaje, a návrh neobsahuje žádné ustanovení, nebo aspoň nějaký rámec, který by mezinárodní spolupráci upravoval. Takže tam je v podstatě plná volnost, což je samozřejmě jednodušší pro Vojenské zpravodajství, ale představoval bych si, že tam nějaké mantinely nastavené budou.
V poslední řadě, co se týče neúspěchů, se vyjádřím k pozměňovacímu návrhu ústavně-právního výboru. Ten jednak doporučil komplexní pozměňovací návrh, což je v pořádku a já za to děkuji ústavně-právnímu výboru, nicméně potom navrhuje ještě další pozměňovací návrh, který máme označený v proceduře jako C2, a to, upřímně řečeno, příliš nechápu. Čekal jsem od ústavně-právního výboru, že se spíš zastane kontroly a brzd a protivah, když se zvyšují pravomoce Vojenskému zpravodajství, nicméně pozměňovací návrh ústavně-právního výboru bohužel zase oklešťuje ty dojednané změny, konkrétně kontrolu. Vypouští možnost, že by orgán nezávislé kontroly mohl provádět kontrolu na základě podnětu provozovatelů sítě, to znamená, že se operátor může obrátit na kontrolní orgán, pokud má nějaké podezření. To je prosím pěkně odstavec 4 v článku 1 v dosavadním § 16l, nově 16m. ***