2. Kyberprostor a úloha státu na zajištění informační bezpečnosti
2.4. Kybernetické operace a mezinárodní odpovědnost státu 1. Nestátní aktéři jako původci kybernetických operací
2.4.1.1. Princip náležité péče (due diligence)
Princip náležité péče či náležité opatrnosti, vyjádřený v pravidle č. 6 Tallinn Manual 2.0, bývá rovněž chápán jako požadavek bdělosti či prevence. Požaduje se, aby „stát přijal veškerá opatření, která jsou za daných okolností proveditelná, s cílem ukončit kybernetickou operaci (útok), jenž ovlivňuje práva jiných států a má pro ně závažné nepříznivé důsledky”. 695
Pokud si je stát vědom, že jeho území či infrastruktury pod jeho kontrolou jsou zneužívány k páchání kybernetických útoků proti jiným státům, musí dotčené státy neprodleně informovat.
Rovněž je povinen zahájit vyšetřování s cílem zjistit původce útoků a postihnout je za ně. 696
Součástí principu náležité péče však není povinnost podniknout konkrétní preventivní kroky k zajištění, aby nedošlo k využití státního území ke kybernetickým útokům namířeným na jiné státy
Tallinn Manual 2.0, Rule 33 - Non-State actors.
690
BANNELIER, Karine, CHRISTAKIS, Theodore. Op. cit., str. 12.
691
Tallinn Manual 2.0 uvádí pojem due diligence, tj. doslova náležitá bdělost, opatrnost. Překlad autorka.
692
Tallinn Manual 2.0, Rule 6 - Due diligence (general principle). Překlad autorka.
693
Tallinn Manual 2.0, Rule 7 - Compliance with the due diligence principle, bod 6.
694
Tallinn Manual 2.0, Rule 7 - Compliance with the due diligence principle. Překlad autorka.
695
BANNELIER, Karine, CHRISTAKIS, Theodore. Op. cit., str. 29. Dále srov. též rozsudek Mezinárodního soudního
696
dvora ze dne 9. 4. 1949, Corfu Channel Case (United Kingdom of Great Britain and Northern Ireland v. Albania).
Dostupný: http://www.icj-cij.org/en/case/1/judgments [Cit. 2022-11-02].
- do této míry není princip náležité péče alespoň dosud mezinárodním společenstvím vnímán. 697 Rovněž nejsou státy oprávněny použít princip náležité péče jako záminku k uplatnění nástrojů hromadného sledování a narušování základních práv a svobod, zejména práva na soukromí. Státy jsou oprávněny používat technologie jen v mezích toho, co umožňuje mezinárodní právo, a především s respektem k ochraně základních lidských práv a svobod. 698
Tallinn Manual 2.0 uvádí příklad, kdy se princip náležité péče uplatní. Bude jím situace, v níž uskupení hackerů pocházející ze státu A zaútočí na stát B a způsobí mu tím škodu (materiální ujmu), přičemž k útoku využije kybernetickou infrastrukturu nacházející se na území státu C. Musí se ovšem současně jednat o kybernetický čin v rozporu s mezinárodním právem. Ve vztahu ke kyberšpionáži se proto princip náležité opatrnosti neuplatní, neboť kyberšpionáž sama o sobě není zakázána mezinárodním právem (srov. Pravidlo 32 Tallinn Manual 2.0), ledaže by mezinárodní smlouva stanovila jinak. Jestliže orgány státu C budou mít povědomí o kybernetickém útoku, jsou na základě principu opatrnosti povinny proti útoku zakročit. Konkrétní opatření, kterými by stát C měl zamezit kybernetickému útoku, nebudou bezbřehá; v dané situaci lze požadovat pouze proveditelná (dosažitelná) opatření. Obdobný požadavek bude platit i v případě anektovaného území, či u vládní kybernetické infrastruktury nacházející se mimo území státu. Rovněž v případě státu, jehož územím data pouze procházejí (např. skrze optický kabel), se princip náležité opatrnosti uplatní, avšak pouze za předpokladu, že si transitní stát bude vědom škodlivého přenosu dat skrze vlastní infrastrukturu. Povědomí o škodlivém přenosu nicméně bude spíše výjimečným, neboť většina datového provozu prochází soukromou infrastrukturou poskytovatelů internetového připojení. 699
Povědomí o kybernetickém útoku lze dovodit ze skutečnosti, že státní orgány, zpravodajské služby apod., zaznamenají kybernetický útok vedený ze státního území nebo obdrží důvěryhodnou informaci o takovém útoku. Povědomí lze rovněž dovodit za situace, kdy stát sice neví, že z jeho území je prováděn kybernetický útok vůči jinému státu, avšak na základě objektivních skutečností o takovém útoku měl a mohl vědět; to platí zejména tehdy, je-li k útoku zneužita státní infrastruktura, anebo je-li útočeno skrze veřejně známé zranitelnosti či malware. 700
Tallinn Manual 2.0, Rule 6 - Due diligence (general principle), bod 5.
697
BANNELIER, Karine, CHRISTAKIS, Theodore. Op. cit., str. 23.
698
Tallinn Manual 2.0, Rule 6 - Due diligence (general principle), body 8 - 10 a 14.
699
Tamtéž, body 37 - 40.
700
Ačkoli mezinárodní právo dopadá na kybernetické operace nestátních aktérů jen v omezené míře, za určitých podmínek lze považovat činy nestátních aktérů za činy konkrétního státu, které 701 založí jeho mezinárodněprávní odpovědnost. Tato situace nastane, pokud fyzické či právnické osoby budou jednat na základě příkazů či pokynů konkrétního státu nebo pod jeho kontrolou.
Rovněž přihlásí-li se stát k danému činu, tj. prohlásí-li jej za vlastní, založí tím svoji mezinárodněprávní odpovědnost. Více o mechanismu přičitatelnosti pojednává následující 702 podkapitola.
Nelze-li kybernetický útok nestátních aktérů považovat za čin konkrétního státu, nebude čin představovat ani intervenci nebo nedovolené použití síly, neboť těch se může dopustit jedině stát.
Obvykle takový čin nenaruší ani suverenitu státu, proti němuž je namířen. Dotčený stát se tudíž 703 nemůže uchýlit k protiopatřením ve smyslu mezinárodního práva. Může však postupovat proti útočníkovi v souladu s vnitrostátním právem a zakročit na obranu hodnot, jež chrání jeho právní řád. Za určitých podmínek může napadený stát jednat rovněž na základě práva na sebeobranu a 704 krajní nouze. 705
Mezinárodní právo však předpokládá reakci na kybernetický útok nestátních aktérů, který nelze přičíst některému státu, pokud stát nedostojí povinnosti náležité péče a nezabrání závažným nepříznivým důsledkům na území jiného státu, které způsobí kybernetický útok nestátních aktérů provedený z jeho území. Zmíněnou reakcí jsou protiopatření (countermeasures). Za situace, v níž lze kybernetický útok přičíst některému státu, se princip náležité péče a protiopatření při jeho porušení neuplatní.
Z hlediska mezinárodního práva však nelze přistoupit k protiopatřením v reakci na jakýkoli kybernetický útok. Možné to bude pouze ve vztahu k útoku, který způsobí škodu v určité významné míře. Hranice výše škody, na kterou stát zareaguje protiopatřením z důvodu, že jiný stát zanedbal náležitou opatrnost, tj. kdy dojde k uplatnění principu náležité opatrnosti, ovšem není jednoznačná.
Obdobně jako je tomu v mezinárodním právu životního prostředí by mělo jít o závažné nepříznivé důsledky, tj. o škodu podstatného rozsahu, nikoli toliko o nepříjemnosti, drobná narušení, či škodu
Tallinn Manual 2.0, Rule 33 - Non-State actors.
701
BANNELIER, Karine, CHRISTAKIS, Theodore. Op. cit., str. 16.
702
Byť na tom nepanuje mezi odborníky úplná shoda. Srov. Tallinn Manual 2.0, Rule 33 - Non-State actors, bod 2.
703
V případě, kdy kybernetický útok dospěje do úrovně ozbrojeného útoku. Srov. Tallinn Manual 2.0, Rule 71,
704
pojednávající o sebeobraně proti ozbrojenému útoku.
Tallinn Manual 2.0, Rule 26 - Necessity. Překlad autorka.
705
zanedbatelného rozsahu. Nemělo by se tak jednat například o případ pouhého zveřejnění 706 nepříznivé informace vůči státu A bloggerem státu B z území tohoto státu B. Takový čin by totiž nevedl k závažným nepříznivým důsledkům pro stát A ani by neporušil žádný (mezinárodní) závazek státu B. Skutečnost, že došlo k porušení mezinárodně uznaného závazku státu je totiž další podmínkou pro uplatnění principu náležité opatrnosti: kybernetický útok nestátních aktérů musí být v rozporu s mezinárodním závazkem státu, z jehož území byl útok proveden. Opačný případ by však nastal u blokování vládních webových stránek klíčových pro výkon veřejných subjektivních práv, jako např. volebního práva. 707
Na základě principu náležité péče lze užít protiopatření rovněž v případě kybernetického útoku na soukromou infrastrukturu (skutečnost, zda je útok veden na státní nebo soukromá zařízení a sítě totiž není rozhodující). Pokud v rámci obchodního konkurenčního boje provede obchodní společnost ve státě A ničivý kybernetický útok vůči svému konkurentovi ve státě B, pak stát A poruší princip náležité péče, jestliže o útoku ví, a přesto nezvolí dostupná opatření, jak tomuto útoku zabránit, přičemž útok způsobí obchodní společnosti ve státě B závažnou škodu. Na rozdíl 708 od účastenství na kybernetickém útoku jiného státu ve formě pomoci, jež předpokládá jednání státních orgánů ve formě konání, dojde k porušení principu náležité péče při opomenutí státních orgánů konat. 709