Vybrané okolnosti vylučující protiprávnost: Krajní nouze

hodnotit souhrnně; přistoupí-li jednající stát k více kybernetickým operacím, mohly by samostatně představovat jen zanedbatelné riziko, avšak ve svém souhrnu by byly kybernetickým útokem s citelným dopadem pro fungování klíčových služeb státu.

Protiopatření mají především obnovit stav, v němž státy plní mezinárodní závazky. Zvolený druh protiopatření však nemusí nutně souviset s dotčeným závazkem, jehož plnění se stát domáhá.

Zásadní totiž je, zda zvolené protiopatření povede odpovědný stát k dodržování mezinárodního závazku. Proto je možné, aby se reagovalo na porušení mezinárodních smluv z nejrůznějších oblastí právní úpravy právě kybernetickým protiopatřením, jakož i naopak: lze zvolit klasické protiopatření z oblasti mezinárodních obchodních vztahů, které bude reagovat na kybernetický útok porušující státní suverenitu. ⁷⁹³

Jelikož důvodem uchýlení se k protiopatřením je docílit obnovy vzájemných řádných vztahů mezi státy, není možné zvolit protiopatření proti nestátním aktérům. Výjimkou by byl případ, kdy by byly činy nestátních aktérů přičitatelné konkrétnímu státu. Lze se nicméně setkat s odlišným názorem, podle něhož lze protiopatření užít i proti nestátním aktérům, pokud by porušili mezinárodní závazek (typicky zákaz použití síly a nenarušení státní suverenity) vůči státu. Zastánci tohoto přístupu zdůrazňují, že je výhodný zejména tam, kde nelze kybernetický útok přičíst žádnému státu. Tak by tomu bylo i v případě teroristických skupin, proti nimž by stát, na jehož území operují, sice zasáhl v souladu s principem náležité péče všemi dostupnými prostředky, avšak marně a kybernetický útok by nadále trval. Zmíněný postoj lze považovat za praktický. Pomíjí ⁷⁹⁴ však možnosti států reagovat na kybernetický útok na základě dalších okolností vylučujících protiprávnost, a sice krajní nouze nebo sebeobrany. I z těchto důvodů není většinově akceptován. ⁷⁹⁵ Na druhou stranu však krajní nouze i sebeobrana vyžadují, aby kybernetický útok dosáhl určité síly, respektive aby již vážně a bezprostředně ohrozil klíčové státní zájmy. U protiopatření na rozdíl od toho není hledisko ohrožení podstatné. Postačí totiž, že stát porušil mezinárodní závazek, byť by takový závazek neměl sám o sobě ničivý dopad na poškozený stát.

kybernetického rázu či nikoli, pokud se jedná o jediný možný prostředek ochrany takových zájmů.”⁷⁹⁶

Předlohou úpravy je čl. 25 Návrhu článků Komise OSN pro mezinárodní právo o odpovědnosti států za protiprávní chování. Citovat lze proto shrnutí podmínek krajní nouze podané Čepelkou: „Musí jít (i) o podstatný zájem, tedy širší než je zájem existenční, avšak vždy podstatný.

Musí jít (ii) o případ ohrožení, a to nanejvýše závažné a bezprostřední, jež stát přiměje chovat se v rozporu s mezinárodním závazkem k tíži státu jiného, protože právě to je jedinou možností, jak odvrátit řečené ohrožení, tedy není jiný způsob - byť mnohem nákladnější, avšak v souladu s jeho mezinárodními závazky - jak toto ohrožení odvrátit. Musí jít (iii) o situaci, ke které stát, dovolávající se stavu krajní nouze, sám nepřispěl, a to buď z nedbalosti nebo záměrně. A konečně, (iv) obětovaný zájem státu poškozeného musí být menší, než zájem ochráněný opatřeními v krajní nouzi.”⁷⁹⁷

Klíčovou podmínkou pro dovolání se krajní nouze je skutečnost, že podstatný (zásadní, essential) zájem státu se ocitl v ohrožení. Jaký zájem to je, Tallinn Manual 2.0 nekonkretizuje a ani mezinárodní právo všeobecně přijímanou definici nezná; bude proto třeba neurčitý pojem vykládat ve vztahu k okolnostem. Výjimečně bude dokonce možné, aby bylo v rámci krajní nouze ⁷⁹⁸ zasáhnuto na ochranu podstatných zájmů mezinárodního společenství jako celku. Každý stát se totiž může dovolat odpovědnosti jiného státu, jenž kybernetickými operacemi porušuje závazky erga omnes, tj. vůči mezinárodnímu společenství jako celku. Tallinn Manual 2.0 příkladem uvádí ⁷⁹⁹ situaci, v níž by nestátní aktéři skrze Internet s úspěchem podnítili genocidu ve státě. Byly-li by splněny ostatní podmínky pro jednání v krajní nouzi, byl by jakýkoli stát oprávněn zasáhnout kybernetickými prostředky proti takovému podněcování genocidy. Uvedený příklad je ⁸⁰⁰ mimořádně zajímavý s ohledem na silné pole působnosti on-line sdělovacích prostředků a existenci nejrůznějších elektronických komunikačních sítí. ⁸⁰¹

Požadavek nanejvýše závažného a bezprostředního ohrožení znemožňuje, aby stát provedl kybernetickou operaci s odkazem na krajní nouzi v jiných případech než u zcela fundamentálního

Tallinn Manual 2.0, Rule 26 - Necessity. Překlad autorka.

796

ČEPELKA, Čestmír. Op. cit., str. 75.

797

Tallinn Manual 2.0, Rule 26 - Necessity, bod 2.

798

Tallinn Manual 2.0, Rule 30 - Breach of obligations owed to the international community as a whole.

799

Tallinn Manual 2.0, Rule 26 - Necessity, bod 3.

800

Lze připomenout, že během genocidy ve Rwandě podněcovala místní média populaci Hutu ke genocidě, čímž

801

podstatně přispěla k násilí vůči Tutsiům. Srov. KAYUMBA, David, State Sovereignty Versus Individual Rights in the Case of the 1994 Genocide in Rwanda [online]. Entebbe, 2006. Diplomová práce. Nkumba University, School of Social Sciences. Vedoucí práce Dr. Michael Mawa, bod 2.6.3. Dostupné: https://ssrn.com/abstract=1831542 [Cit. 2022-11-15].

ohrožení státních zájmů. Na základě Tallinn Manual 2.0 by bylo možné považovat za ohrožení fundamentálních zájmů státu kybernetický útok na státní kritickou infrastrukturu s významnými negativními dopady na bezpečnost, ekonomiku, veřejný zdravotní sektor nebo životní prostředí ve státě. Příkladem je uveden kybernetický útok, který by oslabil státní bankovní systém, způsobil dramatickou ztrátu důvěry v jeho akciový trh, zamezil veškerému leteckému či železničnímu provozu ve státě, znemožnil vyplácení dávek ze systému sociálního zabezpečení či důchodového pojištění nebo odstavil rozsáhlou elektrickou síť nebo integrovaný systém protivzdušné obrany, atp. Pokud by se jednalo o situaci, v níž stát zatím neutrpěl ⁸⁰² žádnou újmu, musí pro uplatnění krajní nouze nebezpečí chráněnému zájmu stále trvat. Není však rozhodné, projeví-li se újma až za určitý čas. ⁸⁰³

Skutečnost, že čin v krajní nouzi zasáhne do práv třetích států, není pro její uplatnění rozhodující. Výjimkou by ovšem byly kybernetické operace, jež by vážně poškodily základní zájmy třetích států: takové operace jsou zakázány, bez ohledu na rozsah újmy, kterou poškozený stát utrpěl. Zmíněná omezující podmínka aplikace krajní nouze závisí opět na výkladu neurčité ⁸⁰⁴ kategorie základních zájmů státu. S ohledem na shora uvedené příklady, které zmiňuje Tallinn Manual 2.0, se lze domnívat, že zapovězené budou opět kybernetické operace s vážnými negativními dopady do klíčové infrastruktury třetích států v oblasti státní bezpečnosti, ekonomiky, zdravotnictví, či životního prostředí. Uvedené negativní dopady projevující se ve sféře třetích států by měl stát jednající v krajní nouzi zohlednit ještě před započetím kybernetické operace.

Zapovězeny by měly být též kybernetické operace představující násilnou akci či použití síly, neboť k nim lze přistoupit jen v rámci sebeobrany či se souhlasem Rady bezpečnosti OSN. ⁸⁰⁵

Co se týče podmínky výlučnosti kybernetické operace v krajní nouzi, tj. neexistence jiné možnosti záchrany ohroženého základního zájmu státu, než právě provedení konkrétní kybernetické operace, nejsou z hlediska posuzování alternativ náklady ani ztížená možnost jiného způsobu řešení situace rozhodující. Jestliže je například možné přesměrovat datovou komunikaci z napadené

Tallinn Manual 2.0, Rule 26 - Necessity, bod 5.

802

Tamtéž, body 14 - 16 a rozsudek Mezinárodního soudního dvora ze dne 25. 9. 1997, Gabčíkovo-Nagymaros Project

803

(Hungary v. Slovakia). Op. cit., odst. 54.

Tallinn Manual 2.0, Rule 26 - Necessity, body 6 a 8 a čl. 25 odst. 1 písm. b) Návrhu článků Komise OSN pro

804

mezinárodní právo o odpovědnosti států za protiprávní chování.

Srov. však i opačný názor uvedený v Tallinn Manual 2.0, Rule 26 - Necessity, bod 18.

805

infrastruktury jinam, byť s vyššími náklady, není možné s odkazem na krajní nouzi zvolit cestu zpětného hackingu (tzv. hack back), jímž bude narušena suverenita jiných států. ⁸⁰⁶

Krajní nouze jako okolnost vylučující protiprávnost v oblasti vztahů mezi suverénními státy však budí kontroverze. Jak poukazuje Čepelka, problematická je situace, kdy se stát „sám cítí být ve stavu krajní nouze, tj. pokládá sám sebe za závažně a bezprostředně ohroženého na svém podstatném zájmu a nemá podle vlastního posouzení absolutně žádný výběr prostředků, jak ochránit tento zájem, než právě k újmě jiného státu. Ten je však takto vzniklou situací zcela nevinen.” ⁸⁰⁷ Autor následně pokládá otázku, zda bude i v tomto případě dané chování zcela zbaveno protiprávnosti, resp. zda bude zbaveno jen odpovědnostního následku v podobě povinnosti nahradit vzniklou škodu? Podotýká, že krajní nouze je obvykle vnímána spíše jako nástroj politický, než právní. I přes zmíněné kontroverze však lze krajní nouzi, s ohledem na obyčejový charakter i ⁸⁰⁸ přijetí mezinárodními soudy, považovat za institut vztahující se také na kybernetické prostředí. ⁸⁰⁹

Příčinou jednání v krajní nouzi může být vedle chování států i přírodní katastrofa či události nezávislé na vůli států. To umožňuje uplatnit institut krajní nouze i na kybernetické útoky a ohrožující kybernetické operace jednotlivců, teroristů, aktivistů a nejrůznějších skupin i neznámých útočníků, neboť jejich aktivity není nutné prve přičíst některému státu. Jednání v krajní nouzi proto může být jedinou přípustnou reakcí státu na kybernetický útok nestátního aktéra, který by nedosáhl hranice ozbrojeného útoku. ⁸¹⁰