Princip náležité péče (due diligence)

Princip náležité péče či náležité opatrnosti, vyjádřený v pravidle č. 6 Tallinn Manual 2.0, bývá rovněž chápán jako požadavek bdělosti či prevence. Požaduje se, aby „stát přijal veškerá opatření, která jsou za daných okolností proveditelná, s cílem ukončit kybernetickou operaci (útok), jenž ovlivňuje práva jiných států a má pro ně závažné nepříznivé důsledky”. ⁶⁹⁵

Pokud si je stát vědom, že jeho území či infrastruktury pod jeho kontrolou jsou zneužívány k páchání kybernetických útoků proti jiným státům, musí dotčené státy neprodleně informovat.

Rovněž je povinen zahájit vyšetřování s cílem zjistit původce útoků a postihnout je za ně. ⁶⁹⁶

Součástí principu náležité péče však není povinnost podniknout konkrétní preventivní kroky k zajištění, aby nedošlo k využití státního území ke kybernetickým útokům namířeným na jiné státy

Tallinn Manual 2.0, Rule 33 - Non-State actors.

690

BANNELIER, Karine, CHRISTAKIS, Theodore. Op. cit., str. 12.

691

Tallinn Manual 2.0 uvádí pojem due diligence, tj. doslova náležitá bdělost, opatrnost. Překlad autorka.

692

Tallinn Manual 2.0, Rule 6 - Due diligence (general principle). Překlad autorka.

693

Tallinn Manual 2.0, Rule 7 - Compliance with the due diligence principle, bod 6.

694

Tallinn Manual 2.0, Rule 7 - Compliance with the due diligence principle. Překlad autorka.

695

BANNELIER, Karine, CHRISTAKIS, Theodore. Op. cit., str. 29. Dále srov. též rozsudek Mezinárodního soudního

696

dvora ze dne 9. 4. 1949, Corfu Channel Case (United Kingdom of Great Britain and Northern Ireland v. Albania).

Dostupný: http://www.icj-cij.org/en/case/1/judgments [Cit. 2022-11-02].

- do této míry není princip náležité péče alespoň dosud mezinárodním společenstvím vnímán. ⁶⁹⁷ Rovněž nejsou státy oprávněny použít princip náležité péče jako záminku k uplatnění nástrojů hromadného sledování a narušování základních práv a svobod, zejména práva na soukromí. Státy jsou oprávněny používat technologie jen v mezích toho, co umožňuje mezinárodní právo, a především s respektem k ochraně základních lidských práv a svobod. ⁶⁹⁸

Tallinn Manual 2.0 uvádí příklad, kdy se princip náležité péče uplatní. Bude jím situace, v níž uskupení hackerů pocházející ze státu A zaútočí na stát B a způsobí mu tím škodu (materiální ujmu), přičemž k útoku využije kybernetickou infrastrukturu nacházející se na území státu C. Musí se ovšem současně jednat o kybernetický čin v rozporu s mezinárodním právem. Ve vztahu ke kyberšpionáži se proto princip náležité opatrnosti neuplatní, neboť kyberšpionáž sama o sobě není zakázána mezinárodním právem (srov. Pravidlo 32 Tallinn Manual 2.0), ledaže by mezinárodní smlouva stanovila jinak. Jestliže orgány státu C budou mít povědomí o kybernetickém útoku, jsou na základě principu opatrnosti povinny proti útoku zakročit. Konkrétní opatření, kterými by stát C měl zamezit kybernetickému útoku, nebudou bezbřehá; v dané situaci lze požadovat pouze proveditelná (dosažitelná) opatření. Obdobný požadavek bude platit i v případě anektovaného území, či u vládní kybernetické infrastruktury nacházející se mimo území státu. Rovněž v případě státu, jehož územím data pouze procházejí (např. skrze optický kabel), se princip náležité opatrnosti uplatní, avšak pouze za předpokladu, že si transitní stát bude vědom škodlivého přenosu dat skrze vlastní infrastrukturu. Povědomí o škodlivém přenosu nicméně bude spíše výjimečným, neboť většina datového provozu prochází soukromou infrastrukturou poskytovatelů internetového připojení. ⁶⁹⁹

Povědomí o kybernetickém útoku lze dovodit ze skutečnosti, že státní orgány, zpravodajské služby apod., zaznamenají kybernetický útok vedený ze státního území nebo obdrží důvěryhodnou informaci o takovém útoku. Povědomí lze rovněž dovodit za situace, kdy stát sice neví, že z jeho území je prováděn kybernetický útok vůči jinému státu, avšak na základě objektivních skutečností o takovém útoku měl a mohl vědět; to platí zejména tehdy, je-li k útoku zneužita státní infrastruktura, anebo je-li útočeno skrze veřejně známé zranitelnosti či malware. ⁷⁰⁰

Tallinn Manual 2.0, Rule 6 - Due diligence (general principle), bod 5.

697

BANNELIER, Karine, CHRISTAKIS, Theodore. Op. cit., str. 23.

698

Tallinn Manual 2.0, Rule 6 - Due diligence (general principle), body 8 - 10 a 14.

699

Tamtéž, body 37 - 40.

700

Ačkoli mezinárodní právo dopadá na kybernetické operace nestátních aktérů jen v omezené míře, za určitých podmínek lze považovat činy nestátních aktérů za činy konkrétního státu, které ⁷⁰¹ založí jeho mezinárodněprávní odpovědnost. Tato situace nastane, pokud fyzické či právnické osoby budou jednat na základě příkazů či pokynů konkrétního státu nebo pod jeho kontrolou.

Rovněž přihlásí-li se stát k danému činu, tj. prohlásí-li jej za vlastní, založí tím svoji mezinárodněprávní odpovědnost. Více o mechanismu přičitatelnosti pojednává následující ⁷⁰² podkapitola.

Nelze-li kybernetický útok nestátních aktérů považovat za čin konkrétního státu, nebude čin představovat ani intervenci nebo nedovolené použití síly, neboť těch se může dopustit jedině stát.

Obvykle takový čin nenaruší ani suverenitu státu, proti němuž je namířen. Dotčený stát se tudíž ⁷⁰³ nemůže uchýlit k protiopatřením ve smyslu mezinárodního práva. Může však postupovat proti útočníkovi v souladu s vnitrostátním právem a zakročit na obranu hodnot, jež chrání jeho právní řád. Za určitých podmínek může napadený stát jednat rovněž na základě práva na sebeobranu a ⁷⁰⁴ krajní nouze. ⁷⁰⁵

Mezinárodní právo však předpokládá reakci na kybernetický útok nestátních aktérů, který nelze přičíst některému státu, pokud stát nedostojí povinnosti náležité péče a nezabrání závažným nepříznivým důsledkům na území jiného státu, které způsobí kybernetický útok nestátních aktérů provedený z jeho území. Zmíněnou reakcí jsou protiopatření (countermeasures). Za situace, v níž lze kybernetický útok přičíst některému státu, se princip náležité péče a protiopatření při jeho porušení neuplatní.

Z hlediska mezinárodního práva však nelze přistoupit k protiopatřením v reakci na jakýkoli kybernetický útok. Možné to bude pouze ve vztahu k útoku, který způsobí škodu v určité významné míře. Hranice výše škody, na kterou stát zareaguje protiopatřením z důvodu, že jiný stát zanedbal náležitou opatrnost, tj. kdy dojde k uplatnění principu náležité opatrnosti, ovšem není jednoznačná.

Obdobně jako je tomu v mezinárodním právu životního prostředí by mělo jít o závažné nepříznivé důsledky, tj. o škodu podstatného rozsahu, nikoli toliko o nepříjemnosti, drobná narušení, či škodu

Tallinn Manual 2.0, Rule 33 - Non-State actors.

701

BANNELIER, Karine, CHRISTAKIS, Theodore. Op. cit., str. 16.

702

Byť na tom nepanuje mezi odborníky úplná shoda. Srov. Tallinn Manual 2.0, Rule 33 - Non-State actors, bod 2.

703

V případě, kdy kybernetický útok dospěje do úrovně ozbrojeného útoku. Srov. Tallinn Manual 2.0, Rule 71,

704

pojednávající o sebeobraně proti ozbrojenému útoku.

Tallinn Manual 2.0, Rule 26 - Necessity. Překlad autorka.

705

zanedbatelného rozsahu. Nemělo by se tak jednat například o případ pouhého zveřejnění ⁷⁰⁶ nepříznivé informace vůči státu A bloggerem státu B z území tohoto státu B. Takový čin by totiž nevedl k závažným nepříznivým důsledkům pro stát A ani by neporušil žádný (mezinárodní) závazek státu B. Skutečnost, že došlo k porušení mezinárodně uznaného závazku státu je totiž další podmínkou pro uplatnění principu náležité opatrnosti: kybernetický útok nestátních aktérů musí být v rozporu s mezinárodním závazkem státu, z jehož území byl útok proveden. Opačný případ by však nastal u blokování vládních webových stránek klíčových pro výkon veřejných subjektivních práv, jako např. volebního práva. ⁷⁰⁷

Na základě principu náležité péče lze užít protiopatření rovněž v případě kybernetického útoku na soukromou infrastrukturu (skutečnost, zda je útok veden na státní nebo soukromá zařízení a sítě totiž není rozhodující). Pokud v rámci obchodního konkurenčního boje provede obchodní společnost ve státě A ničivý kybernetický útok vůči svému konkurentovi ve státě B, pak stát A poruší princip náležité péče, jestliže o útoku ví, a přesto nezvolí dostupná opatření, jak tomuto útoku zabránit, přičemž útok způsobí obchodní společnosti ve státě B závažnou škodu. Na rozdíl ⁷⁰⁸ od účastenství na kybernetickém útoku jiného státu ve formě pomoci, jež předpokládá jednání státních orgánů ve formě konání, dojde k porušení principu náležité péče při opomenutí státních orgánů konat. ⁷⁰⁹