Výbory Poslanecké sněmovny (ÚPV a VO) v těchto dnech projednávají zákon, jehož přijetí umožní masivní sběr metadat o provozu českého internetu, a tím i výrazný zásah do našeho soukromí.

Tuto středu projedná Ústavně právní výbor sněmovny (a  v  neveřejném zasedání i  Výbor pro obranu) novelu zákona o  Vojenském zpravodajství. Pokud bude novela přijata, může umožnit masivní sběr metadat o  provozu českého internetu, a  tím i  výrazný zásah do našeho soukromí. Přestože plošný sběr metadat odmítl na začátku října Evropský soudní dvůr, vojenští špioni zákonu pečlivě umetli cestu, oslabili argumenty odpůrců a  sehnali hlasy na jeho podporu. V  důsledku mohou naše data putovat do rukou spojenců, zejména USA, do systému, jehož fungování před lety popsal Edward Snowden.

Na začátku října prošel předpis, jehož schválení bude znamenat výrazné ohrožení soukromí na českém internetu, hladce prvním čtením. První, výrazně drakoničtější variantu se pokusili vojáci prosadit už v  letech 2016 a  2017, ale než se podařilo zákon schválit, padla Sobotkova vláda. Novou verzi zákona schválila současná vláda v  mediálním stínu prvního nouzového stavu v  březnu tohoto roku. Prvním čtením ve Sněmovně prošel zákon 7.  října, dva dny po vyhlášení nynějšího nouzového stavu, kdy pohled veřejnosti i  médií mířil úplně jiným směrem.

Připomeňme si, že zákon by umožnil vojenské tajné službě umístit k  poskytovatelům internetu i  telefonním operátorům „černé skříňky“, které by zaznamenávaly údaje o  provozu na sítích elektronických komunikací – tedy i  internetu. „Kromě toho novela obsahuje blíže neupřesněnou možnost ‚aktivních zásahů‘ vojenské rozvědky v  kyberprostoru, mlhavě popsanou a  ústavně spornou součinnost s  policií, to vše při absenci kontroly justiční a  aktuálně nefunkční kontroly nad rozvědkami obecně,“ upozorňuje advokátka Helena Svatošová z  neziskové organizace Iuridicum Remedium, která se právu na soukromí dlouhodobě věnuje.

Pečliví vojáci

Podle svědků zákulisních jednání vykonali po neúspěchu minulé novely vojenští rozvědčíci skutečně pečlivou práci. Obešli všechny nejdůležitější odpůrce zákona a  každému slíbili to, co chtěl slyšet. Konkurenčním tajným službám, vyděšeným rozsahem pravomocí, které mělo Vojenské zpravodajství získat, patrně nabídli, že s  nimi data budou sdílet. Sdružení velkých providerů udělali ústupek v  tom, že nemusí nutně strpět „černé skříňky“ ve své infrastruktuře a  mohou požadovaná data vojákům předávat sami – a  dostanou proplacené náklady. Piráti, nejhlasitější kritici novely v  parlamentu, doufají, že do zákona dostanou své pozměňovací návrhy, které mají přinést další pojistky. Samostatné jednání vedli zpravodajci se Svazem průmyslu a  dopravy a  v  kuloárech koluje vyjednaná novela zákona, která vojákům ukládá některá další dílčí omezení. Přestože znění zákona projednávané v  prvním čtení ve Sněmovně odpovídá „staré“ podobě přijaté vládou, v  rozpravě v  parlamentu se řečníci oháněli tím, že všechno bude ve skutečnosti jinak, než je v  návrhu psáno, a  že problémy vyřeší pozměňovací návrhy. Poslanci tak v  nouzovém stavu posunuli dál návrh, který neprošel veřejnou kontrolou a  diskusí v  mezirezortním řízení. „Na Ústavně právním výboru budeme prosazovat, aby došlo ke změně předlohy, tak aby text odpovídal úpravám vyjednaným přes léto,“ říká pirátský poslanec Ondřej Profant, který se zákonu dlouhodobě věnuje.

I v  táboře kritiků z  platformy Digitální bezpečnost a  soukromí (DBaS) zavládla opatrná úleva z  toho, že z  předlohy zmizely nejnebezpečnější body: to, že by „černé skříňky“ monitorovaly veškerý provoz, tzn. nejen metadata, ale i  obsah komunikace samotné, a  že by sondy samotné mohly být použity k  vojenskému útoku v  kyberprostoru. Tato úleva však zastírá fakt, že pokud novela umožní „pouze“ sběr metadat, zasáhne tak do našeho ústavně zaručeného práva na soukromí natolik výrazně, jak to dosud žádný zákon neudělal. Zejména proto, že kontrola nad touto pravomocí bude minimální.

Pouhá metadata

Metadata jsou údaje o  naší komunikaci, o  každém učiněném spojení. Kdo, s  kým, odkud, kam a  kdy komunikoval. Pokud tato metadata strojově zpracujeme – a  analytický software se k  tomu používá už desítky let  –, získáme přesnou mapu mezilidské sociální sítě i  našich životů. Kdo patří ke komu, kdo je s  kým ve spojení, kdo komu telefonoval, kde kdo bydlí, kdy vstává a  zapíná počítač, kdy opouští domov. Kdo používá jaké internetové služby, komunikátory, s  kým si vyměňuje zprávy, komu píše emaily soukromé i  pracovní, kam se dívá na mapě i  jaké sleduje porno. S  tím, jak se na sítích odehrává stále výraznější část našeho života, nás metadata popisují s  čím dál vyšší přesností, až se nakonec nebude kam skrýt.

Metadata u  nás přikázal operátorům a  poskytovatelům internetu uchovávat zákon o  „data retention“ už v  roce 2005. V  březnu 2011 Ústavní soud zákon zrušil, o  rok později začal platit v  omezenější variantě. Operátoři „provozní a  lokalizační údaje“ uchovávají po dobu šesti měsíců a  policie je může získat v  přísně vyjmenovaných případech se souhlasem státního zástupce. I  to je citelný zásah do soukromí a  podle čerstvého rozsudku Evropského soudního dvora z  6.  října plošný sběr metadat o  komunikaci koliduje s  právem na soukromí a  podobné zákony se budou pravděpodobně muset přepsat v  celé Evropě. „Rozsudek je však příliš čerstvý na to, aby s  ním parlament mohl spěšně předkládaný zákon konfrontovat,“ říká Helena Svatošová. „Podle našich předběžných analýz by se novely zákona o  Vojenském zpravodajství týkat mohl a  parlament by to měl řešit,“ dodává.

Černé skříňky

Černé skříňky se v  nové verzi novely jmenují „nástroje detekce“ a  mají zaznamenávat pouze metadata. Důvodová zpráva k  zákonu vysvětluje: „V nástroji detekce bude nadefinován např. škodlivý kód odpovídající již v  minulosti zaznamenanému útoku na nemocnici v  zahraničí – když pak tento kód nástroj v  provozu detekuje, tak zaznamená výhradně tuto skutečnost a  uchová související metadata.“ To by mohlo znamenat, že černé skříňky uvidí i  do samotného obsahu dat přenášených, ale zaznamenávat budou pouze metadata. Zákon současně nijak nestanoví, kdo k  „nástrojům detekce“ bude mít přístup, a  nelze tedy vyloučit, že by z  nich výrazně více dat získávala například spojenecká tajná služba mimo českou jurisdikci.

Piráti považují za úspěch, že (v  nyní neveřejném, upraveném) návrhu by provozovatelé sítí mohli předávat data sami, na základě zvláštní dohody a  černé skříňky by v  tom případě do jejich sítí vojáci nemuseli instalovat. „De facto to znamená, že žádné černé skříňky nebudou,“ uklidňuje Ondřej Profant. Vojákům by však i  tak možnost instalace sond zůstala v  případě, že „zajištění detekce nebude účinné“, což je spojení, pod nímž se může skrývat leccos, zvlášť při absenci předběžného soudního povolování takovýchto zásahů. A  poskytovatelé, kteří by součinnost odmítli nebo jí nebyli schopni, by sondy dostali každopádně.

Snowdenova stopa

Novela navíc počítá s  tím, že by vojenští zpravodajci mohli získaná data dále sdílet – s  policií, tajnými službami i  dalšími subjekty. „Zvláště nebezpečná by tato možnost byla ve spojení s  projednávanou novelou zákona o  policii, která by umožnila využívat poznatky tajných služeb jako důkazů v  trestním řízení, tam pak hrozí proces jako z  Kafkova Zámku,“ obává se Svatošová.

Možnosti sdílení získaných dat však překračují hranice republiky. Na pozadí vyjednávání o  novele zaznívají odkazy na to, že na sběr metadat tlačí zejména spojenci z  NATO. „Zpravodajské služby spoustu informací vyměňují barterem,“ vzpomíná na jednání pirátský poslanec Ondřej Profant. Vzorec tak připomíná snahu americké tajné služby NSA o  sledování a  analýzu veškerého provozu internetu, kterou před lety prozradil veřejnosti whistleblower Edward Snowden. NSA nejenže získávala data i  metadata od amerických telekomunikačních operátorů a  amerických firem, které poskytují datové služby, jako jsou Microsoft, Google či Apple. Ve spolupráci s  britskou tajnou službou GCHQ zpracovávala i  ohromné datové toky v  podmořských kabelech, kterými z  Británie teče internet do Afriky, Asie, na Blízký východ, do USA i  zbytku Evropy. Americká legislativa zakazovala americké tajné službě sledování vlastních občanů a  britská zase těch britských. Spolupráce obou služeb pak byla oklikou, jak se k  datům vlastních občanů dostat.

Další ohromné balíky metadat NSA získávala od amerických spojenců. Jak ukazují Snowdenem zveřejněné screenshoty z  projektu Boundless Informant, například Poláci předali Američanům za jediný měsíc 71 milionů záznamů. Německý výměnný bod, DE-CIX, největší uzel evropského internetu, se zatím marně snaží u  tamějšího ústavního soudu zastavit praxi, kdy německá tajná služba BND, jež má s  NSA úzkou spolupráci, získává kopie veškerého provozu, který proteče přes její uzel ve Frankfurtu.

Data NSA získává nejčastěji právě barterem – spojencům výměnou za ně poskytla technologické prostředky na jejich získávání („černé skříňky“) či pro práci s  nimi (vyhledávací systém XKEYSCORE, něco jako Google, který nehledá ve veřejném internetu, ale ve zprávách, které jsme si poslali soukromě – či v  jejich metadatech). Všechny tyto varianty může novela zákona o  Vojenském zpravodajství otevřít i  v  České republice. „Zákon proti podobnému předávání dat negarantuje absolutně žádnou ochranu,“ říká Helena Svatošová z  Iuridicum Remedium.

Nedostatečná kontrola

Zda se sondy doopravdy využívají pouze k  účelům, k  nimž jsou určeny, by měl kontrolovat „Inspektor pro kybernetickou obranu“. Ten je však podle novely jmenován ministrem obrany a  je zaměstnancem Vojenského zpravodajství – vojáci by tak v  praxi kontrolovali sami sebe. Navíc celý systém stojí na jediném člověku. Obracet by se na něj přitom nemohla veřejnost, pouze poskytovatelé internetu, a  i  ti by byli vázáni mlčenlivostí pod přísnou pokutou. Další možnost kontroly by sice – kromě Stálé komise pro kontrolu činnosti Vojenského zpravodajství – měl mít „orgán nezávislé kontroly“, s  nímž počítá zákon o  zpravodajských službách. Tento orgán však dosud neexistuje. „Překvapuje mne, že u  takhle výrazného zásahu do soukromí se zákon, který ho umožňuje, schvaluje v  situaci, kdy orgán nezávislé kontroly nefunguje,“ diví se spěšnému schvalování Svatošová. „Z hlediska zachování rovnováhy moci, by měla být v  kontrole obsažena i  moc soudní a  návrhy vojenského zpravodajství by zpětně přezkoumával nebo schvaloval soud, jako je to u  odposlechů, které tajné služby nasazují.“

Oficiálním důvodem, proč si vojenská tajná služba říká o  nové, neobvykle veliké pravomoci, je kybernetická obrana státu. „Vojáci neoficiálně říkají, že jim jde jenom o  ochranu kritické infrastruktury,“ zamýšlí se Ondřej Profant. „Rozumím jim, rozvědka nemůže být slepá. A  s  tím, jak jsou státní instituce často v  kybernetické bezpečnosti nekompetentní, je pro zpravodajce snazší vymoci si spolupráci zákonem.“ Potom je však třeba se ptát, zda rozsah pravomocí je k  takovému úkolu adekvátní. „Největší smysl by dávalo, kdyby stát umístil černé skříňky pouze do svojí infrastruktury, případně i  infrastruktury kritické, kterou definuje zákon,“ říká bezpečnostní expert Pavel Růžička z  platformy DBaS, která novelu sleduje od počátku. „Ke kybernetické obraně státních institucí ale data od soukromých firem nezbytně nepotřebuje,“ dodává.

V opačném případě se vystavujeme riziku, že zákon bude zneužit ke sběru zpravodajských informací (Vojenské zpravodajství je přeci jen tajná služba) a  k  jejich zobchodovávání se spojenci. A  přestože vojenští zpravodajci ubezpečují všechny strany, že k  zneužívání docházet nebude, jakmile zákon vstoupí v  platnost, budou jeho možnosti moci využít i  ti, kteří nastoupí po nich. Proto by limity i  kontrola měly být přímo v  novele nastaveny co nejpřísněji. Ďábel může být skryt v  detailech a  jedno slovo v  pozměňovacím návrhu může naše soukromí učinit zcela průhledným.

Honza Šípek

Text vyšel na online deníku A2larm.cz