Úmluva o počítačové kriminalitě

kýžené ochrany. Případ Stuxnet však upozornil širokou veřejnost, že také počítačová zařízení, která nejsou připojená ke globální síti, bude zapotřebí zabezpečit před kybernetickými útoky. ⁵⁹⁴

vnitrostátních orgánů činných v trestním řízení, včetně podmínek mezinárodní spolupráce při vyšetřování. ⁵⁹⁶

Důvěrnost, integrita a dostupnost informací a dat je chráněna povinností smluvních stran stíhat jako trestné činy tzv. nezákonný přístup i nezákonný odposlech. Čl. 2 Úmluvy o počítačové kriminalitě definuje nezákonný přístup následovně: „Každá strana přijme taková legislativní a jiná opatření, která budou nezbytná k tomu, aby podle jejích vnitrostátních právních předpisů byl trestným činem, pokud je spáchán úmyslně, neoprávněný přístup k celému počítačovému systému nebo jeho jakékoli části. Strana může stanovit, že bude považovat tento čin za trestný, jen pokud je spáchán porušením bezpečnostních opatření, s úmyslem získat počítačová data nebo s jiným nečestným úmyslem, nebo ve vztahu k počítačovému systému, který je spojen s jiným počítačovým systémem.”

Nezákonný přístup je obecným trestným činem chránícím všechny složky bezpečnosti informací - jejich důvěrnost, integritu i dostupnost. Principiálně by jakékoli neoprávněné narušení počítačového systému či dat mělo být protiprávním, neboť může omezit činnost oprávněných uživatelů, způsobit změnu či poškození dat, což si vyžádá vysoké náklady na jejich obnovu, způsobit únik citlivých údajů, včetně hesel a klíčových informací o počítačovém systému, přičemž může také podnítit páchání další trestné činnosti. Nezákonný přístup rovněž může představovat ⁵⁹⁷ narušení soukromého a rodinného života uživatele napadeného počítačového zařízení.

Úmluva o počítačové kriminalitě ponechala na smluvních stranách, zda budou považovat za trestný i čin, jímž nebude porušeno žádné bezpečnostní opatření, případně čin spáchaný bez konkrétního škodlivého úmyslu (obmyslu). ČR přistoupila ke kriminalizaci neoprávněného přístupu k počítačovému systému nebo k jeho části, překoná-li pachatel současně bezpečnostní opatření. ⁵⁹⁸ Pokud by pachatel nepřekonal žádné bezpečnostní opatření, vyžaduje český trestní zákoník k trestnosti činu, aby pachatel svým jednáním naplnil zároveň další kvalifikační okolnosti: aby neoprávněně užil uložená data, neoprávněně je vymazal nebo zničil, poškodil, změnil, potlačil, snížil jejich kvalitu, atd. ⁵⁹⁹

Ochranou důvěrnosti se zabývá i čl. 3 Úmluvy o počítačové kriminalitě, který upravuje tzv.

nezákonný odposlech. Stanoví povinnost smluvním stranám přijmout „taková legislativní a jiná

RADA EVROPY. Op. cit., bod 16.

596

Tamtéž, bod 44.

597

Srov. základní skutkovou podstatu v § 230 odst. 1 trestního zákoníku.

598

Viz další základní skutková podstata v § 230 odst. 2 trestního zákoníku. Podrobněji kybernetické trestné činy, včetně

599

trestného činu neoprávněného přístupu k počítačovému systému a nosiči informací, rozebírá KOLOUCH, Jan. Op. cit., str. 338 an.

opatření, která budou nezbytná k tomu, aby podle jejích vnitrostátních právních předpisů byl trestným činem úmyslný, neoprávněný, technickými prostředky provedený odposlech neveřejného přenosu počítačových dat do počítačového systému, z něj nebo v jeho rámci, včetně elektromagnetického vyzařování z počítačového systému přenášejícího taková počítačová data.

Strana může stanovit, že bude považovat tento čin za trestný, jen pokud je spáchán s nečestným úmyslem, nebo ve vztahu k počítačovému systému, který je spojen s jiným počítačovým systémem.”

Citovaná skutková podstata chrání soukromí datové komunikace. Vztahuje se na veškerý přenos elektronických dat, bez ohledu na použité médium či technologické zařízení. Nezákonný odposlech dat lze postavit na roveň nezákonnému prostorovému odposlechu či odposlechu telefonické konverzace, jež jsou známy z offline světa. Úprava klade důraz na ochranu soukromí, jak stanoví i čl. 8 Evropské úmluvy o ochraně základních lidských práv a svobod (dále jen

„EÚLP”). ⁶⁰⁰

Dostupnost informací a dat je chráněna požadavkem postihu zasahování do dat ve smyslu čl. 4 Úmluvy o počítačové kriminalitě, jenž ukládá smluvním stranám přijmout „taková legislativní a jiná opatření, která budou nezbytná k tomu, aby podle jejích vnitrostátních právních předpisů bylo trestným činem, pokud je spácháno úmyslně, neoprávněné poškození, vymazání, snížení kvality, pozměnění nebo potlačení počítačových dat.” Smluvní strany úmluvy si nicméně mohou vyhradit ⁶⁰¹ právo stanovit, že budou považovat popsané jednání za trestné pouze pokud způsobí závažnou škodu. K tomu ze strany ČR nedošlo a k trestnosti se tudíž nevyžaduje vznik škody. ⁶⁰²

Podle výkladových ustanovení jsou poškození a snížení kvality počítačových dat vzájemně se přesahující pojmy znamenající především negativní změny v celistvosti a informačním potenciálu počítačových dat a programů. Pozměnění dat je modifikací existujících dat, např. v důsledku škodlivých počítačových programů (viry, Trojské koně apod.); výmaz dat je postaven na roveň zničení fyzické věci, zatímco potlačení dat má označovat jakékoli jednání, které zamezí, aby data byla dostupná osobě s přístupem k počítači nebo nosiči dat. ⁶⁰³

Rozlišit vymazání dat od jejich potlačení může být obtížné, neboť data se mohou osobě s uživatelskými znalostmi jevit jako smazaná, ač mohou být (částečně) na nosiči stále dostupná. Jak se lze dočíst i v řadě popularizačních článků na webu, výmaz dat z pevného disku či jiného

RADA EVROPY. Op. cit., bod 51. Podrobněji k pojmům technické prostředky a neveřejný přenos srov. tamtéž, body

600

53 a 54.

Čl. 4 odst. 1 Úmluvy o počítačové kriminalitě.

601

Čl. 4 odst. 2 Úmluvy o počítačové kriminalitě.

602

RADA EVROPY. Op. cit., bod 61.

603

paměťového média obvykle pouze odstraní cestu k vymazaným datům, ta však stále existují v nezměněné podobě - došlo toliko k odstranění cesty, kterou by viděl operační systém tak, aby data zobrazil uživateli. Mnohé z dostupných programů na výmaz dat uložených na paměťových ⁶⁰⁴ médiích staví na několikanásobném přepsání původních dat náhodnými daty, šance na obnovu původních dat však může stále existovat. Spolehlivou se jeví až metoda demagnetizace, která v případě magnetických paměťových médií trvale odstraní data působením silného magnetického pole, anebo přímo fyzická likvidace paměťového média. ⁶⁰⁵

Aby bylo jednání popsané v čl. 4 odst. 1 Úmluvy o počítačové kriminalitě trestné, musí pachatel jednat úmyslně a bez oprávnění. Oprávněná likvidace či potlačení dat, např. v důsledku splnění požadavků na jejich výmaz, při rekonfiguraci operačního systému či vlivem testování zabezpečení počítačového systému, kdy k jednání dochází se souhlasem majitele či oprávněného uživatele, není protiprávní, a tudíž ani trestné. ⁶⁰⁶

Dostupnost informací a dat je chráněna rovněž požadavkem stíhat tzv. zasahování do systému ve smyslu čl. 5 Úmluvy o počítačové kriminalitě. Smluvním stranám je zde uloženo přijmout „taková legislativní a jiná opatření, která budou nezbytná k tomu, aby podle jejích vnitrostátních právních předpisů bylo trestným činem, pokud je spácháno úmyslně, neoprávněné závažné omezení funkčnosti počítačového systému vkládáním, přenášením, poškozením, vymazáním, snížením kvality, pozměněním nebo potlačením počítačových dat.” ⁶⁰⁷

Důvodová zpráva k Úmluvě o počítačové kriminalitě uvádí, že zmíněné ustanovení dopadá na počítačovou sabotáž, tj. úmyslné bránění oprávněnému užívání počítačových systémů, včetně telekomunikačních zařízení, skrze ovlivňování počítačových dat. Omezení funkčnosti počítačového systému musí být závažné, aby bylo trestně postižitelné, přičemž hranice závažnosti je ponechána na vnitrostátní právní úpravě, ustanovení má však typicky dopadat na útoky typu DDoS či spáchané pomocí malware, které podstatně zpomalí či zcela zamezí fungování systému. Díky neutrální formulaci však ustanovení chrání řadu funkcí. Dopadá i na zasílání spamu s cílem blokovat komunikační funkce systému. ⁶⁰⁸

VOŘÍŠEK, Lukáš. Obyčejné smazání nestačí, data dokáže obnovit kdokoli: Jak bezpečně smazat soubory a zničit

604

pevný disk? [online]. inSmart.cz, 7. 6. 2019. Dostupné: https://insmart.cz/jak-trvale-smazat-data/ [Cit. 2022-11-12].

Tamtéž.

605

RADA EVROPY. Op. cit., body 62 - 63.

606

Čl. 5 Úmluvy o počítačové kriminalitě.

607

RADA EVROPY. Op. cit., body 65 - 67.

608

Současně Úmluva o počítačové kriminalitě stanoví požadavek kriminalizovat jednání, které může být materiálně přípravou k trestné činnosti popsané shora. Čl. 6 odst. 1 písm. a) ukládá stíhat úmyslnou a neoprávněnou výrobu, prodej, opatření za účelem použití, dovoz, distribuci nebo jiné zpřístupnění zařízení, včetně počítačového programu, vytvořeného nebo přizpůsobeného zejména za účelem spáchání trestného činu zasahování do dat nebo trestného činu zasahování do systému.

Stejně má být stíhána výroba, prodej, opatření za účelem použití, dovoz, distribuce nebo jiné zpřístupnění počítačového hesla, přístupového kódu nebo podobných dat, pomocí nichž lze získat přístup do celého počítačového systému nebo do jakékoli jeho části s tím úmyslem, že jej bude použito pro účely spáchání trestného činu zasahování do dat nebo trestného činu zasahování do systému. Kriminalizováno má být i pouhé držení shora vyjmenovaných položek s úmyslem ⁶⁰⁹ spáchání trestného činu zasahování do dat nebo trestného činu zasahování do systému. Úmluva ⁶¹⁰ však připouští výhradu z uvedeného požadavku kriminalizace za podmínky, že se taková výhrada nebude týkat prodeje, distribuce nebo jiného zpřístupnění počítačového hesla, přístupového kódu nebo dat, pomocí nichž lze získat přístup do počítačového systému nebo jeho části. Takovou ⁶¹¹ výhradu ČR neučinila.

Vznik citovaného čl. 6 Úmluvy o počítačové kriminalitě provázely rozsáhlé debaty o tom, zda stanovit jako trestné držení jakýchkoli zařízení, která by mohla být využita k páchání trestné činnosti proti důvěrnosti, integritě a použitelnosti počítačových dat a systémů (dual-use devices), anebo pouze těch zařízení přímo či výslovně určených k jejímu páchání. Oba přístupy byly nakonec odmítnuty s ohledem na příliš obtížné prokazování. Řešením se stal přístup založený na prokazování subjektivní stránky trestného činu - držení zařízení právě v úmyslu spáchat počítačový trestný čin. Otázkou je, zda by nebylo jednodušší prokazovat držení počítačového programu ⁶¹² specificky určeného např. k vedení útoku DDoS, než úmysl takový útok spáchat.