Odpovědnost ISP a uživatelů – právní aspekty JUDr. Jan Kolouch, Ph. D.
je virtuální realitou, nemající konec ani začátek. Působnost práva? Na světě není stát, který by se vzdal možnosti aplikovat právo v kyberprostoru. Státy si vymiňují i právo na potrestání protiprávního jednání, které zasahuje zájmy, jež chrání. GB - ochrana před terorismem http://en.wikipedia.org/wiki/Regulation_of_Investigatory_Powers_Act_2000 Hranice v Internetu. Kyberprostor je virtuální realitou, nemající konec ani začátek. © JUDr. Jan Kolouch, Ph.D.
Úmluva o kyberkriminalitě ZLOČINY PROTI DŮVĚRNOSTI, INTEGRITĚ A DOSAŽITELNOSTI POČÍTAČOVÝCH DAT A SYSTÉMŮ. nezákonný přístup nezákonné odposlouchávání narušování dat narušování systémů zneužití prostředků ZLOČINY SE VZTAHEM K AUTORSKÝM NEBO OBDOBNÝM PRÁVŮM. ZLOČINY SE VZTAHEM K OBSAHU POČÍTAČE Výroba, distribuce, získávání a držení dětské pornografie na datových nosičích. ZLOČINY SE VZTAHEM K POČÍTAČI počítačové padělání počítačový podvod © JUDr. Jan Kolouch, Ph. D.
Zákony ČR se vztahem ke Kyberprostoru Zákon č. 40/2009 Sb., trestní zákoník Zákon č. 141/1961 Sb., o trestním řízení soudním - trestní řád Zákon č. 200/1990 Sb., o přestupcích Zákon č. 121/2000 Sb., Autorský zákon Zákon č. 127/2005 Sb., o elektronických komunikacích Zákon č. 480/2004 Sb., o některých službách informační společnosti Zákon č. 273/2008 Sb., o Policii České republiky Zákon č. 40/1964 Sb., Občanský zákoník Zákon č. 513/1991 Sb., Obchodní zákoník Zákon č. 101/2000 Sb., o ochraně osobních údajů, Zákon č. 227/2000 Sb., o elektronickém podpisu aj. © JUDr. Jan Kolouch, Ph. D.
Veřejnoprávní úprava, aneb právní odpovědnost ISP
Povinnost ISP: poskytovat službu. Př. Podle zákona 127/2005 Sb., nemáme právo do provozu zasahovat bez žádosti od Policie ČR. Já nemám právo tento incident řešit a odpojit našeho zákazníka. Není mojí povinností řešit narušení bezpečnosti mého zákazníka, zde je asi potřeba rozlišit, jestli se bavíme o poskytování připojení nebo o poskytování služby. Povinnost ISP: poskytovat službu. technicky a organizačně zajistit bezpečnost poskytované služby s ohledem na ochranu osobních údajů fyzických osob . informovat dotčené účastníky o specifickém riziku porušení bezpečnosti sítě. © JUDr. Jan Kolouch, Ph. D
Druhy poskytovatelů služeb dle zák. č. 480/2004 Sb.: Poskytovatel služeb spočívající v přenosu informací poskytnutých uživatelem (angl. Mere Conduit nebo Access Provider). De facto se jedná o: Operátory elektronických komunikací, ostatní operátory fyzických linek a operátory logických linek. Poskytovatele služeb spočívajících v automatickém meziukládání informací poskytnutých uživatelem (tzv. caching). Poskytovatele služeb spočívajících v ukládání informací poskytnutých uživatelem (tzv. storage nebo hosting). © JUDr. Jan Kolouch, Ph. D
Poskytovatele nelze činit odpovědného za kvalitu informace (kterou mu nelze přičíst), a to i v případě, že si je vědom protiprávnosti přenášené informace. Operátoři elektronických komunikací, mají povinnosti dle zákona č. 127/2005 Sb. Dle čl. 12 směrnice č. 2000/31/ES je dána možnost členským státům nařídit Providerovi, aby přerušil poskytování služeb, skrze něž dochází ke komunikaci protiprávních informací. Poskytovatelé cachingu nejsou zbaveni odpovědnosti za kvalitu informací, pokud dojde z jejich strany k porušení standardních či smluvených technických podmínek cachingu. Situace je nejsložitější. Dochází k uplatnění zmíněné směrnice (viz § 5 zák. č. 480/2004 Sb.). V tomto ustanovení je dána podmínka alespoň nevědomé nedbalosti Providera ve vztahu k protiprávnímu obsahu informace u něj uložené. Zákonodárce však neukládá Providerům povinnost aktivně vyhledávat protiprávní informace uživatelů (neboť by v mnohých případech šlo de facto o zásah do základních práv a svobod zaručených ústavním zákonem č. 2/1993 Sb., Listina základních práv a svobod - např. čl. 13). © JUDr. Jan Kolouch, Ph. D.
Soukromoprávní úprava, aneb LICENCE
ISP vs. User Do současnosti byly „podepsány“ miliardy smluv/licencí. Důraz by měl být kladen na popis plnění, které uživatel/ISP očekává, rychlost a dosažitelnost takového plnění, než na fyzickou podstatu. Je třeba přesně a jasně vymezit práva a povinnosti jednotlivých stran (poskytovatel a uživatel) ve smlouvě. ISP vs. User © JUDr. Jan Kolouch, Ph.D.
© JUDr. Jan Kolouch, Ph. D
právní odpovědnost za způsobený incident Každý by se měl chovat tak, aby nedocházelo k porušování práv jiných (§ 415 občanského zákoníku - každý je povinen počínat si tak, aby nedocházelo ke škodám na zdraví, na majetku, na přírodě a životním prostředí.) a k případným újmám na jejich právech. § 420 (1) Každý odpovídá za škodu, kterou způsobil porušením právní povinnosti. (2) Škoda je způsobena právnickou osobou anebo fyzickou osobou, když byla způsobena při jejich činnosti těmi, které k této činnosti použili. Tyto osoby samy za škodu takto způsobenou podle tohoto zákona neodpovídají; jejich odpovědnost podle pracovněprávních předpisů není tím dotčena. (3) Odpovědnosti se zprostí ten, kdo prokáže, že škodu nezavinil. © JUDr. Jan Kolouch, Ph. D
Trestně právní odpovědnost
Trestný čin Protiprávní čin, který trestní zákon označuje za trestný čin a který vykazuje znaky uvedené v zákoně. Trestným činem je čin uvedený ve zvláštní části trestního zákona. K trestnosti činu je třeba zavinění úmyslného, nestanoví-li trestní zákon že postačí zavinění z nedbalosti. Trestní právo je postaveno na zásadě individuální odpovědnosti za spáchaný trestný čin. Při spáchání protiprávního jednání v rámci Internetu není vyloučena odpovědnost občanskoprávní. § 230 – 232, 270 TZK © JUDr. Jan Kolouch, Ph. D.
FAQ
Za jakých okolností mohu číst emaily uživatelů? FAQ: Za jakých okolností mohu číst emaily uživatelů? Jakou mám jako správce ICT právní zodpovědnost např. za ztrátu (smazání) dat? Co riskuji při úniku citlivých dat (např. osobních údajů) díky technické chybě nebo chybě zabezpečení? Mohu znát hesla uživatelů? Za jakých okolností? Co mám dělat při podezření na zneužití techniky ze strany uživatelů? Jaké mám povinnosti při zabezpečení sítě? Co mám dělat v případě síťového incidentu s dopadem na systémy organizace (např. DoS útok)? Co mám dělat při podezření na zcizení systémových nebo uživatelských přístupových údajů? Mohu sledovat síťový provoz a uchovávat data z něj? Mohu sledovat použití webu jednotlivými uživateli? Nelegální software v organizaci a jeho dopad na vedení a pracovníky ICT Jak mám postupovat, když se na mě obrátí orgány činné v trestním řízení se žádostí o vydání zařízení, logů, dohledání provozních informací apod.? Kdo je zodpovědný za nalezený nelegální SW, dílo chráněné AZ apod. na zařízení, které jako správce spravuji? Jaká je hranice mezi mojí zodpovědností coby správce a uživatelovou zodpovědností? © JUDr. Jan Kolouch, Ph. D.
Děkuji za pozornost JUDr. Jan Kolouch, Ph.D. Policejní akademie ČR v Praze CESNET, z.s.p.o. jan.kolouch@cesnet.cz j.kolouch@polac.cz © JUDr. Jan Kolouch, Ph.D.
Věcný záměr zákona o kybernetické bezpečnosti pplk. JUDr. Jan Kolouch, Ph.D.
pplk. JUDr. Jan Kolouch, Ph.D. Dne 30. března 2009 přijala Komise sdělení o ochraně kritické informační infrastruktury – „Ochrana Evropy před rozsáhlými počítačovými útoky a narušením: zvyšujeme připravenost, bezpečnost a odolnost“ KOM(2009) 149. KOM(2011) 163 v konečném znění SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU, RADĚ, EVROPSKÉMU HOSPODÁŘSKÉMU A SOCIÁLNÍMU VÝBORU A VÝBORU REGIONŮ o ochraně kritické informační infrastruktury „Dosažené výsledky a další kroky: směrem ke globální kybernetické bezpečnosti“ Pro vnitrostátní/vládní skupiny CERT byl vypracován minimální soubor základních schopností a služeb a související politická doporučení, jež jim mají umožnit efektivní fungování jako klíčovým složkám prostředků pro připravenost, sdílení informací, koordinaci a reakci na národní úrovni. Za podpory agentury ENISA do roku 2012 ve všech členských státech postavena síť dobře fungujících vnitrostátních/vládních skupin CERT. Tato síť bude páteří Evropského systému pro varování a sdílení informací (EISAS) pro občany a malé a střední podniky, jenž má být vybudován do roku 2013 za využití národních zdrojů a schopností. Tato činnost rovněž posune vpřed vývoj Evropského systému pro varování a sdílení informací (EISAS) pro širší veřejnost, jenž má být dokončen do roku 2013. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2011:0163:FIN:CS:HTML pplk. JUDr. Jan Kolouch, Ph.D.
Usnesení vlády č. 781 ze dne 19. října 2011 NBÚ ustaven gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast. Absence: celkové vize Technologické analýzy současného stavu Absence subjektů dle zák. 480/2004 Sb. Vztahu zákona k bezpečnostním složkám Nedefinované či „modifikované“ pojmy prvky kritické infrastruktury CERT/CSIRT Protiopatření (nedefinováno za jakých podmínek) Kybernetické nebezpečí Kybernetická událost/útok Zákon postaven na systému vynucení pod hrozbou sankcí Národní CSIRT: „pošťák“. Chybějící prostor pro PPP Využitelnost získaných informací v praxi? Statistika? Obrázky použity z článku Jiřího Peterky. Článek: Jaký bude zákon o kybernetické bezpečnosti. Dostupné na: http://www.psp.cz/sqw/historie.sqw?T=615&O=6 pplk. JUDr. Jan Kolouch, Ph.D.
ACTA Anti-Counterfeiting Trade Agreement Obchodní dohoda proti padělatelství Znění: http://trade.ec.europa.eu/doclib/docs/2011/may/tradoc_147937.pdf http://www.cnews.cz/kompletni-zneni-dohody-acta-v-cestine Diskuse: http://www.lupa.cz/clanky/video-z-diskusniho-panelu-acta-myty-a- fakta/ http://www.earchiv.cz/papers/p58/nahled.php3?l=1&me=1&t=vsex1 © JUDr. Jan Kolouch, Ph. D.