Tallinnský manuál

Vodítkem pro aplikaci norem mezinárodního práva v kybernetickém prostředí se stal dokument nazvaný v angličtině Tallinn Manual on the International Law Applicable to Cyber Warfare. Jednalo se o první dokument pojednávající o aplikaci mezinárodněprávních norem v ³⁵⁷ kybernetickém prostředí, a to pro případ kybernetické války. První verze Tallinnského manuálu tak pojednává o činech v kyberprostoru, které jsou v rozporu se zákazem použití síly, a o kybernetických operacích během ozbrojeného konfliktu. Díky rozšíření autorského kolektivu o další odborníky pocházející z více zemí vznikla druhá verze dokumentu nazvaná ³⁵⁸ Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations (dále též jako „Tallinn Manual 2.0”), která pojednává již o širším spektru kybernetických aktivit: zabývá se aplikací mezinárodněprávních norem na kybernetické operace a incidenty odehrávající se na denní bázi. ³⁵⁹ Svojí charakteristikou jsou Tallinnské manuály dokumenty kazuistické povahy, které popisují u základních pravidel mnohé praktické situace, jež by mohly nastat; v souladu s úlohou manuálu

TÁBOROVÁ, Alice. Op. cit., str. 35.

355

Např. vyšetřování kybernetické trestné činnosti se zpravidla neobejde bez mezinárodní spolupráce. Podle Seitze

356

vyžaduje přístup k digitálním důkazním prostředkům uloženým na zahraničních serverech až 80% všech případů v Německu, v nichž figuruje Internet. SEITZ, Nicolai. Op. cit., str. 25.

SCHMITT, Michael N. Tallinn manual on the international law applicable to cyber warfare: prepared by the

357

international group of experts at the invitation of the NATO cooperative cyber defence centre of excellence. Cambridge:

Cambridge University Press, 2013.

FÈVRE, Victor. Review of TALLINN MANUAL 2.0 ON THE INTERNATIONAL LAW APPLICABLE TO

358

CYBER OPERATIONS [online]. Politique Étrangère, vol. 82, no. 4, 2017, str. 210–211. Dostupné: JSTOR, https://

www.jstor.org/stable/48562377 [Cit. 2022-11-04].

SCHMITT, Michael. Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations [online]. 2.

359

vydání. Cambridge: Cambridge University Press, 2017. Dostupné: https://www.cambridge.org/core/books/abs/tallinn- manual-20-on-the-international-law-applicable-to-cyber-operations/law-of-international-responsibility/

99E333F8578ADCC567A92BECF932E4C3 [Cit. 2022-11-04].

poskytují státům návod, jak aplikovat principy a normy mezinárodního práva veřejného na kybernetické operace. Tímto návodem se státy při výkladu mezinárodních norem mohou ³⁶⁰ či nemusejí řídit. Základní pravidla, která jsou tematicky rozdělena do okruhů, jsou však dostatečně obecná a do určité míry zákoník připomínají, byť jsou jednotlivá pravidla převzata z externích pramenů mezinárodního práva veřejného.

Vzhledem k nezávaznosti vyslovených pravidel nabývají Tallinnské manuály na významu silou přesvědčivosti své argumentace. Ta není zanedbatelná, neboť se na jejich vzniku podílela řada odborníků zabývajících se problematikou mezinárodního práva veřejného. V současnosti se připravuje třetí verze Tallinnského manuálu (pracovně nazvaná Tallinn Manual 3.0), vznikající v rámci odborné platformy pod patronátem NATO (The NATO Cooperative Cyber Defence Centre of Excellence, dále též „CCDCoE”). Třetí verze doplní původní manuály z let 2013 a 2017. ³⁶¹

Ačkoli Tallinnské manuály představují nezávazný právní dokument, někteří experti jej považují za lex lata kybernetického prostředí. Jiní zaujímají opačný postoj s odkazem na dominantní pozici zemí severozápadní aliance při vzniku Tallinnských manuálů. Vytýkají jim rovněž netransparentní proces přípravy, do níž nebyla zahrnuta řada dalších aktérů kyberprostoru. ³⁶² Druhá verze Tallinn Manual 2.0 však úvodem upozorňuje, že není oficiálním dokumentem, ale jen výsledkem činnosti skupiny nezávislých expertů, a dále uvádí, že nereprezentuje postoje a názory NATO ani sponzorujících zemí. Třetí verze Tallinn Manual 3.0 se snaží, alespoň ³⁶³ částečně, uvedeným výtkám čelit. Skrze webovou stránku totiž zve k podílení se na přípravě dokumentu širokou odbornou veřejnost. ³⁶⁴

Tallinn Manual 2.0, který má širší pole působnosti než první verze, se uplatní na jednání v kyberprostoru v užším slova smyslu (cyber-to-cyber operations). Příkladem takového jednání je kybernetický útok na státní kritickou infrastrukturu. Manuál se však nepoužije na incidenty či útoky, při nichž jsou využity tradiční zbraně, byť by se cílem útoku stal počítačový systém. Manuál je použitelný také v případech mezinárodního i vnitřního ozbrojeného konfliktu, a část pravidel (např. státní suverenita a jurisdikce) je použitelná mimo jakýkoli ozbrojený konflikt. ³⁶⁵

FÈVRE, Victor. Op. cit., str. 211.

360

CCDOE. The Tallinn Manual [online]. Dostupné: https://ccdcoe.org/research/tallinn-manual/ [Cit. 2022-11-04].

361

TANODOMDEJ Papawadee. The Tallinn Manuals and the Making of the International Law on Cyber Operations.

362

[online] Masaryk Journal of Law and Technology. 2019, (13/1), str. 67 - 85. Dostupné: https://journals.muni.cz/mujlt/

issue/view/992 [Cit. 2022-11-04].

Tallinn Manual 2.0. Op. cit., str. 11.

363

CCDOE. Op. cit.

364

Tallinn Manual 2.0, str. 5.

365

Je jednoznačné, že princip státní suverenity, který je základem mezinárodního práva, se uplatní i v kyberprostoru. Za součást státní suverenity Tallinn Manual 2.0 považuje výkon nezávislé kontroly státu nad komunikačními kanály, úložišti a počítačovými zdroji zabezpečujícími informační systémy. Půjde o kontrolu nad „kybernetickou infrastrukturou” (cyber infrastructure) a s ní spojenými aktivitami na území státu. Zároveň se státy musí zdržet kybernetických operací narušujících suverenitu jiných států. Porušením pravidla nebude, pokud v reakci na kybernetický ³⁶⁶ útok stát zasáhne nestátního aktéra (jednotlivce, anarchistické uskupení, teroristickou skupinu, apod.). ³⁶⁷

Kybernetická infrastruktura se stává předmětem vnitrostátní regulace díky územní výsosti státu. Tallinn Manual 2.0 rozeznává několik aspektů kybernetické infrastruktury: stát vykonává svrchovanou moc nad fyzickým (hardware, kabely, servery, počítače …), logickým (aplikace, data, protokoly …) i sociálním aspektem (jednotlivci a skupiny působící v kyberprostoru), a v tomto směru může stanovit technické podmínky k zabezpečení elektronických komunikací (logický aspekt) nebo kriminalizovat on-line sdílení určitého obsahu (sociální aspekt); pod státní ochranou se přitom nachází veřejná i soukromá infrastruktura. ³⁶⁸

Ne každý incident však bude zásahem do suverenity státu. Tallinn Manual 2.0. klade důraz na hledisko vzniklé škody. Zásahem do státní suverenity bude útok na kybernetickou infrastrukturu nacházející se na území jiného státu, způsobí-li takový čin škodu, anebo bude-li spáchán s úmyslem donutit cizí vládu k určitým politickým krokům - v takovém případě se může jednat též o nedovolenou intervenci či nedovolené použití síly. Povinností suverénního státu je totiž zamezit, aby z jeho území docházelo ke škodlivým aktivitám v kyberprostoru. ³⁶⁹

Co se jurisdikce týče, Tallinn Manual 2.0 rozlišuje teritoriální a extrateritoriální jurisdikci.

Teritoriální jurisdikci stát vykonává ve vztahu ke kybernetické infrastruktuře a k osobám zapojeným do kybernetických činností (engaged in cyber activities) na svém území, jakož i vzhledem ke kybernetickým činnostem majícím původ na území státu, či na území tohoto státu dokonaným (completed), jakož i ve vztahu ke kybernetickým činnostem, které mají na státní území podstatný dopad (having a substantial effect). Pravomoc mimo státní území (extrateritoriální jurisdikci) ³⁷⁰ mohou státy vykonávat ve vztahu ke kybernetickým činům, jejichž původci jsou jeho vlastní státní

Tallinn Manual 2.0., Rule 1 - Sovereignty, Rule 4 - Violation of sovereignty. Překlad autorka.

366

Tamtéž, str. 18.

367

Tamtéž.

368

Tallinn Manual 2.0, str. 11 - 16. Překlad autorka.

369

Tallinn Manual 2.0., Rule 9 - Territorial jurisdiction. Překlad autorka.

370

příslušníci nebo pokud byly spáchány na palubě plavidla či letadla registrovaného v daném státě, anebo ve vztahu ke kybernetickým činům spáchaných cizími státními příslušníky v úmyslu závažně narušit základní zájmy státu (seriously undermine essential state interests) či namířených proti jeho státním příslušníkům, anebo ve vztahu ke kybernetickým činům, jež představují zločiny podle mezinárodního práva a podléhají zásadě univerzality. ³⁷¹

Rozsah extrateritoriální jurisdikce nad kybernetickými aktivitami závisí na skutečnosti, zda půjde o aplikaci vnitrostátního předpisu, pravomoc národních soudů rozhodnout určitou věc, anebo o projevy moci výkonné. Aplikace vnitrostátního předpisu a pravomoc národních soudů jde obvykle ruku v ruce. Nejsou přitom výjimkou pozitivní jurisdikční konflikty, kdy je dána pravomoc soudů vícero států věc rozhodnout za aplikace vlastního vnitrostátního práva na základě státní příslušnosti původce kybernetické operace a podle místa spáchání činu. Tyto případy se zpravidla řeší formou konzultací. Naproti tomu výkon státní moci vně území státu (extraterritorial enforcement ³⁷² jurisdiction) bude zpravidla možný jen se souhlasem dotčeného státu. ³⁷³