Kopřiva (Piráti): Je tam hezká definice metadat, která zaručuje, že se nebude sledovat obsah

Děkuji za slovo, pane předsedající.

Vážený pane ministře, vážené kolegyně, vážení kolegové, protože, jak už tady zaznělo, tento zákon zde leží skutečně dlouho a prošel velkým překotným vývojem, tak budu poněkud zevrubnější, vezmu to podrobně, co se tam povedlo, co se tam nepovedlo z pohledu Pirátské strany a děkuji panu ministrovi, že nakonec dorazil. To byla jedna z věcí, co mně přišla škoda, že takhle zásadní zákon by tady neprezentoval ministr obrany, ale ministr životního prostředí, tak jsem rád, že nakonec se to napravilo. Jak už tady říkali mí předřečníci, leží to tady v podstatě od minulého volebního období, nějaká první verze v tomto období přišla před zhruba třemi lety, takže my na tom pracujeme už poslední tři roky i ve spolupráci s Vojenským zpravodajstvím.

My jako pirátská strana jsme si k tomu založili i pracovní skupinu se zástupci soukromého sektoru operátorů i různých profesních sdružení a nevládních organizací, které řeší internet a kyberbezpečnost, kyberobranu. Jenom chci deklarovat, že tedy to, co teď shrnu, nejdřív řeknu, co se povedlo opravit v zákoně, potom, co se z našeho pohledu, a pak se ještě vyjádřím k pozměňovacím návrhům jak ústavně-právního výboru, tak k těm pěti našim. Takže ne vždycky srovnávám ten komplexní pozměňovací návrh s tím sněmovním tiskem, ale i s těmi předchozími verzemi, co se tam třeba povedlo vyjednat vlastně už do komplexního, nebo už i do sněmovního tisku.

Jako zásadní úspěch vnímáme, že se podařilo vymezit jasně, co ta detekční zařízení nebo dříve sondy mají vlastně sledovat v těch internetových kabelech, když to řeknu lidově, v té internetové komunikaci, protože tam původně byl pojem neadresná data, což by mohlo i naznačovat, že se třeba může jednat o sledování přímo obsahu komunikace uživatelů na internetu. Nakonec se to podařilo přeformulovat na metadata. Je tam hezká definice metadat, která zaručuje, že detekční zařízení budou sledovat pouze ten provoz a ta metadata, nikoli obsah, což pomůže Vojenskému zpravodajství naplnit jejich úkol, ale zároveň to je tedy dobrá pojistka, že se nebude sledovat přímo obsah komunikace uživatelů.

Další věc je, že se povedl změnit ten model, kdy Vojenské zpravodajství samo říkalo, že chce jednat s operátory, s provozovateli sítí jako s rovnými partnery, takže vlastně došlo trochu k převrácení toho modelu, že se tam nebude a priori v první řadě umísťovat nástroj detekce, ale že bude moct Vojenské zpravodajství uzavřít smlouvu s provozovateli sítě a budou moci spolupracovat víc jako partneři, nebude to vlastně násilím montováno do těch komunikačních sítí, což je prostě mnohem lepší model, když Vojenské zpravodajství bude partnerem pro provozovatele sítě.

Komplexní pozměňovací návrh také obsahuje výjimku z mlčenlivosti pro provozovatele sítě. Ti se nově budou moct obrátit na členy kontrolních orgánů, pokud by měli podezření, že Vojenské zpravodajství překročilo své pravomoce. To je další důležitá pojistka.

Původní návrh obsahoval také velmi nekonkrétní podmínky pro správní řízení s provozovateli, ve kterých by se rozhodovalo o umístění nástroje detekce v infrastruktuře provozovatelů sítě. Mezi náležitosti, které by muselo rozhodnutí o umístění nástroje detekce obsahovat, je doba, na kterou lze povinnost provozovatelům sítě uložit, a omezení, že rozhodnutí může ukládat umístění nástroje detekce na 12 měsíců s možností prodloužení na dalších 6 měsíců. Rozhodnutí musí nově také obsahovat další náležitosti podle správního řádu, což zvyšuje možnost přezkumu takového rozhodnutí.

Dále se povedlo do komplexního pozměňovacího návrhu vtělit rozšíření krytí škody na jakékoli škody vzniklé při výkonu kybernetické obrany, a to včetně nemajetkové újmy, což zlepšuje vymahatelnost možných škod při kybernetické obraně. Zase je to lepší pro provozovatele sítí.

Původní návrh obsahoval poměrně vysoké sankce, které byly stanoveny pro provozovatele na 50 milionů korun. V průběhu vyjednávání se podařilo dojednat snížení sankcí, aby skutečně odpovídaly možné závažnosti porušení zákona, takže nově tam je za některé skutkové podstaty navrženo 15 a 5 milionů korun.

Komplexní pozměňovací návrh lépe upravuje kompenzace, aby provozovatelům sítě vznikl nárok na všechny efektivně vynaložené náklady vzniklé při detekci v kybernetickém prostoru, nikoli jen náhradu provozních nákladů zachycených v účetnictví.

To jsou věci, které se podařilo do toho komplexního pozměňovacího návrhu vtělit a jsou to rozhodně kroky správným směrem.

Bohužel z pohledu pirátské strany, a je to důvod, proč ten zákon jako celek nemůžeme nakonec i přes ten komplexní pozměňovací návrh podpořit, tak je jednak ta věc, že aktivní zásah, na kterém ten zákon stojí, je to gros toho návrhu, a my chceme, aby Vojenské zpravodajství mělo větší pravomoci v kybernetickém prostoru, a uznáváme, že je nutné, abychom se stejně jako v konvenčních doménách mohli bránit i v kyberprostoru. V komplexním návrhu došlo k lepšímu vymezení mantinelů. Jsou tam teď podmínky, že musejí být ohroženy důležité zájmy státu ve značném rozsahu, útok trvá, nebo bezprostředně hrozí, a nelze ho odvrátit jinak, a ty musejí být splněny kumulativně. Přesto tam zůstává problém, že ty podmínky jsou nedostatečné, že mohou být naplněny celou řadou i méně závažných situací. Jedním z problémů je například ten, že uvedené podmínky jsou mírnější, než by bylo ukládáno mezinárodním právem interpretovaným v takzvaném talinském manuálu, který kybernetické operace podle nás omezuje víc než předložený návrh. Tím pádem by podle nás mohlo dojít k situacím, kdy bude moci být v národním prostředí, pokud dojde k atribuci útočníka, tak by mohly být použity tyto aktivní zásahy, přičemž by za stejných podmínek byl na mezinárodní úrovni stejný aktivní zásah považován za akt mezinárodní agrese v rozporu s Chartou OSN. Je to sporné. My respektujeme, že Vojenské zpravodajství tuto pravomoc potřebuje, nicméně představovali jsme si ještě o něco lepší vymezení aktivních zásahů. Je to přece jenom legislativní precedent do budoucna pro Vojenské zpravodajství. Na tom se skutečně ještě mohlo zapracovat.

Co je tam ještě problematické? Vlastně byl to krok zpět, protože Vojenské zpravodajství samo přistoupilo na lepší úpravu v zákoně, jak se má připojit to detekční zařízení u provozovatele sítě. Ve sněmovním tisku, co přišel v březnu loňského roku, naopak bylo ustanovení, že detekční zařízení je připojeno odbočně a předává data pouze jednosměrně, což pro mapování komunikačních toků postačuje. A toto ustanovení taky vylučovalo používání aktivních sond, nebo těch nástrojů detekce, protože ta aktivní sonda by byla zapojena inline přímo v cestě a mohla by do komunikace teoreticky přímo vstupovat, selektivně třeba blokovat některé komunikační toky, například některé weby, nebo se vydávat za někoho z účastníků komunikace. A to opravdu není pro účely monitoringu kybernetického prostoru potřeba.

Ačkoli předložený návrh vylučuje možnost provádět aktivní zásahy přímo pomocí detekčních zařízení - a to je správně - z komplexního pozměňovacího návrhu bohužel vypadlo vhodné doplnění o odbočném připojení detekčního zařízení, což je krok zpět a vlastně to opět v podstatě zamlžuje definici detekčního zařízení, resp. jak má být umísťováno.

Poslední věcí, která zůstává trochu problematická, a zase naprosto chápeme, že tajné služby mají spolupracovat se zahraničními partnery a zvyšuje to efektivitu kybernetické obrany, nicméně vyžaduje to mezinárodní spolupráci na poměrně vysoké úrovni, předávají se poměrně citlivé údaje. A ten návrh neobsahuje žádné ustanovení, nebo aspoň nějaký rámec, který by tu mezinárodní spolupráci upravoval, takže tam je v podstatě plná volnost, což je samozřejmě jednodušší pro Vojenské zpravodajství, ale představoval bych si, že tam nějaké mantinely třeba nastavené budou.

V poslední řadě, co se týče neúspěchů, se vyjádřím k pozměňovacímu návrhu ústavně-právního výboru. Ten jednak doporučil ten komplexní pozměňovací návrh, což je v pořádku a já za to děkuji ústavně-právnímu výboru, nicméně potom navrhuje ještě další pozměňovací návrh, který máme označený v proceduře jako C2. A to upřímně řečeno příliš nechápu. Čekal jsem od ústavně-právního výboru, že se spíš zastane té kontroly a těch brzd a protivah, když se zvyšují pravomoce Vojenskému zpravodajství. Nicméně pozměňovací návrh ústavně-právního výboru bohužel zase oklešťuje ty dojednané změny, konkrétně tu kontrolu. Vypouští možnost, že by orgán nezávislé kontroly mohl provádět kontrolu na základě podnětu provozovatelů sítě, to znamená, že se ten operátor může obrátit na kontrolní orgán, pokud má nějaké podezření. To je prosím pěkně odstavec 4 v článku 1 v dosavadním § 16l, nově 16m.

Dále se tam vypouští, že orgán nezávislé kontroly předkládá vládě a Poslanecké sněmovně, ministru obrany podrobnou zprávu o kontrole činností. To je odst. 2 v původním § 16h, nově 16i. A potom se tam vlastně velmi redukuje odstavec 3 v dosavadním § 16k, nově 16l. Tam vlastně bylo uvedeno, co se bude dít s tou zprávou vnitřního inspektora, a ten odstavec byl poměrně zásadním způsobem osekán. Já to považuji za škodu. Je to podle mě škoda, že z toho nakonec vypadly kontrolní mechanismy, na které Vojenské zpravodajství samo přistoupilo.

V posledním bloku svého vystoupení bych rád shrnul ještě naše pirátské pozměňovací návrhy a i v reakci na pana kolegu Žáčka prostřednictvím pana předsedajícího úplně nechápu tu poznámku, stejně tak nechápu, proč třeba hnutí ANO nepodpořilo ten pozměňovací návrh například, který se týká toho orgánu nezávislé kontroly, protože paní vládní zmocněnkyně pro lidská práva paní Válková tady říkala ve druhém čtení, že podpoří pozměňovací návrhy, které vlastně rozšiřují kontrolu, resp. které umožňují, že by se ten orgán nezávislé kontroly naplnil, a nakonec tedy na garančním výboru pro obranu hlasovali i třeba kolegové z hnutí ANO proti.

Já se k tomu hned dostanu. Je to ten pozměňovací návrh D5. Týká se to orgánu nezávislé kontroly, který existuje, ale není naplněn. A já děkuji kolegům, že už v tom komplexním pozměňovacím návrhu se snižují nároky na obsazení nebo na členy toho kontrolního orgánu, konkrétně v tom komplexním pozměňovacím návrhu se vypouští nutnost právního vzdělání a také to, že musí vláda předložit Sněmovně dvojnásobek nominantů. To je rozhodně krok správným směrem. My jsme se v tom pozměňovacím návrhu rozhodli ještě tyto podmínky zjednodušit a skutečně nevím, které z nich jdou proti smyslu nebo které z nich jsou proti smyslu toho kontrolního orgánu. My tam snižujeme věk těch lidí ze 40 na 30 let. Dále říkáme, že nominant by neměl být příslušníkem bezpečnostního sboru, že by stačil pouze jeden rok namísto tří let, a zvyšujeme platový koeficient z 0,25 na 0,75, aby se tam vůbec někdo hlásil, aby se to mohlo obsadit kvalitními lidmi, protože jak víme, tak soukromý sektor prostě platí lépe a nemůžeme se divit, že se tam moc lidi nehrnou. A nechápu, proč tento pozměňovací návrh neprošel. Já si myslím, že to je plně v souladu s tím, co je v tom komplexním pozměňovacím návrhu. Paní vládní zmocněnkyně tady ve druhém čtení říkala, že by to podpořila, nakonec to nezískalo podporu vlastně téměř nikoho na garančním výboru. To je můj pozměňovací návrh D5, který bohužel tedy nezískal doporučující stanovisko garančního výboru.

Ještě projdu naše další pozměňovací návrhy. D1 má za úkol ošetřit, že Vojenské zpravodajství nebude provádět aktivní zásah na žádost Policie ČR. My chceme, aby mohla probíhat součinnost mezi Vojenským zpravodajstvím a Policií ČR, ale bohužel v tom návrhu teď není explicitně ošetřeno, že Vojenské zpravodajství nemůže provádět aktivní zásah tady doma v Česku na žádost Policie ČR, který by se netýkal kybernetické obrany, ale třeba nějakého trestněprávního řízení. Proto navrhujeme vyškrtnout spolupráci s Policií ČR.

V pozměňovacím návrhu D2 chceme posílit kontrolu Vojenského zpravodajství, konkrétně se zvyšují pravomoci kontrolních orgánů, tedy i té sněmovní komise, tady té naší sněmovní komise. Rozšiřuje se tam výčet informací, které se mají předkládat kontrolním orgánům v té zprávě o činnostech Vojenského zpravodajství. Rozšiřuje se tam výčet informací, které si kontrolní orgán může proaktivně vyžádat, zprávy o nedostatcích v oblasti zajišťování ochrany dat a informací, které zpracovává ten inspektor, a dále dohody o spolupráci mezi Vojenským zpravodajstvím a provozovateli sítě. To jsou ty smlouvy, na základě kterých se budou předávat informace o tom netflow, jak jsem o tom už mluvil. Pak v tom pozměňovacím návrhu rozšiřujeme výčet informací, které si kontrolní orgány mohou vyžádat, a navrhujeme, aby se provozovatelé sítě mohli obracet nejen na ten orgán nezávislé kontroly, ale i na naši sněmovní komisi.

Pozměňovací návrh D3 upravuje obsah zprávy o činnostech Vojenského zpravodajství. Jde nám o to, aby kontrolní orgány měly možnost lépe sledovat v čase, jakou aktivitu Vojenské zpravodajství vyvíjí a nastavuje tam nějaké metriky, například meziroční srovnání počtu umístěných nástrojů detekce, počtu písemných smluv, o kterých jsme tady už mluvili, o počtu případů využití součinnosti atd. Takže jsou tam vlastně nějaké metriky, které by v čase mohly ukázat nějaký třeba zásadní nárůst umístěných nástrojů detekce, kde by kontrolní orgány, které prostě mají kontrolovat, pokud se zvyšují Vojenskému zpravodajství pravomoci, tak podle nás se má zvýšit, zlepšit i ta kontrola. A nejde skutečně o žádnou buzeraci, ale čistě o to, aby členové té sněmovní komise měli možnost sledovat nějaké základní metriky o té Vojenského zpravodajství třeba meziročně.

A poslední pozměňovací návrh - resp. já jsem to vzal ze začátku od konce - D4 pouze upravuje to, že by se k závěrům šetření vnitřního inspektora mohla vedle toho orgánu nezávislé kontroly vyjádřit opět, zase ta naše sněmovní komise. Zase. Myslím si, že to není nic proti ničemu, aby naše sněmovní komise měla přístup ke stejným informacím jako orgán nezávislé kontroly.

Vážené kolegyně, vážení kolegové, vážený pane ministře, já jsem shrnul nejprve, co se tam z našeho pohledu povedlo. Myslím si, že ten návrh doznal dost zásadních změn k lepšímu - jak už v průběhu vyjednávání za poslední tři roky, tak i v průběhu teď posledního zhruba roku do toho komplexního pozměňovacího návrhu. Chtěl bych poděkovat ještě jednou kolegům, kteří ten komplexní pozměňovací návrh pomáhali připravit a podpořili ho. Stejně tak chci poděkovat Vojenskému zpravodajství, které s námi skutečně naprosto bezproblémově komunikovalo, jejich komunikace byla vstřícná, snažili se vysvětlovat důvody, proč potřebují rozšířit pravomoci atd. Tady opravdu nebyl jediný problém.

Co je podle mě problematické, že takto zásadní tisk, já to dokonce považuji za asi nejzásadnější zákon z pera předkládaného Ministerstvem obrany v tomto volebním období, kdy se skutečně nastavuje nějaký precedent pro operace v kybernetickém prostoru pro Vojenské zpravodajství. Očekával bych, že pan ministr bude aktivnější, bude více komunikovat i jak směrem k veřejnosti, tak k nám poslancům, byť vím, že byl na garančním výboru, že se účastnil těch jednání v průběhu, ale celkově myslím si, že když se takhle zásadně navyšují pravomoci Vojenskému zpravodajství a jsou tam nějaké problematické věci z pohledu třeba soukromí uživatelů na internetu nebo nějakých ústavních brzd a protivah, tak vláda by měla být ta, co převezme politickou zodpovědnost a řekne tady nahlas, že se to nebude zneužívat, že za to přebírá politickou zodpovědnost, a pokud by třeba nedej bože došlo k nějakému zneužití, tak je to na politické zodpovědnosti vlády. A tady v tom Vojenské zpravodajství s námi komunikovalo nad rámec toho, co by se od něj vyžadovalo. To nebyl vlastně jejich úkol, to je úkol vlády. Takže já bych chtěl poprosit i pro příště, a chápu, že se to zařazovalo různě na poslední chvíli a ne vždycky úplně jsme se to dozvěděli v předstihu, tak bych byl rád, kdyby takhle zásadní - z našeho pohledu - předloha byla lépe komunikována ještě i ze strany vlády.

Jak už jsem říkal v úvodu, ale já to ještě raději zopakuji, pirátská strana nechce zavádět nějakou neomezenou anarchii na internetu. Jsme si vědomi toho, že vzrůstá počet hrozeb a počet útoků v kybernetickém prostoru, například i na nemocnice během nouzového stavu během první vlny pandemie. To je skutečně závažné. A naopak my jsme konstruktivní a chápeme plně, že se musí přizpůsobovat legislativa tomu, aby Vojenské zpravodajství mohlo pružně reagovat na nové hrozby, aby mohlo odvracet útoky třeba i tím aktivním zásahem. Nicméně z důvodu věcí, které jsem vlastně říkal v tom bloku, co se nepovedlo, stále tam zůstávají ještě nějaké z našeho pohledu ne úplně dobře ošetřené věci, ne úplně explicitní formulace, které by ošetřovaly, že třeba bude probíhat kontrola dostatečně, tak z toho důvodu klub Pirátů ten zákon ve výsledku podpořit nemůže.

Nicméně neznamená to rozhodně to, že bychom nechtěli, aby vojenské zpravodajství nás bránilo v kyberprostoru a jsme otevřeni dalším diskusím a určitě časem bude potřeba tuto diskusi znovu otevřít. A já bych chtěl poděkovat vojenskému zpravodajství za činnost, kterou vyvíjí, i za tu komunikaci, kterou s námi vedlo, takže ještě jednou a naposled, není to skutečně nic proti vojenskému zpravodajství jako instituci. My máme důvěru v tuto instituci, nicméně legislativně i z pohledu vlastně veřejné důvěry, důvěry občanů v tajné služby si myslím, že legislativně by se třeba ta kontrola měla lépe ošetřit.

Na závěr ještě poslední dodatek k tomu orgánu nezávislé kontroly. Opravdu nevím, čím by ten náš pozměňovací návrh šel proti smyslu. Myslím si, že cílem náš všech tady - a zaznívá to na výboru pro obranu a na dalších fórech opakovaně, že je potřeba ten orgán obsadit. On je zřízený, ale nefunguje. Takže ještě jednou bych asi chtěl vyjádřit lehké rozhořčení z toho, proč ten pozměňovací návrh je tak nepřijatelný, tam snižujeme věk ze čtyřiceti na třicet let, zvyšujeme odměnu tomu člověku a jenom říkáme, že nemá být členem, příslušníkem bezpečnostních sborů, že stačí jeden rok místo tří let. Podle mě to nejde proti smyslu, naopak. My chceme, aby se ten orgán naplnil, aby začal fungovat. Věříme, že by to zase zvýšilo důvěru i veřejnosti ve vojenské zpravodajství, pokud by se ten orgán podařilo naplnit. Doufám, že se to podaří jednoho dne, ať už ten náš pozměňovací návrh projde nebo ne. My jako klub pirátů budeme, jak už jsem říkal, dále otevření diskusi o tom, jak třeba ten orgán naplnit, aby mohl začít fungovat. Stejně tak ta komise pro kontrolu vojenského zpravodajství tady ve Sněmovně. Budeme rádi a já mám důvěru v její členy a v jejího předsedu kolegu Víta Rakušana. Co mám informace, byť nejsem člen té komise, tak tam ta komunikace zase probíhá úplně v pořádku a je to partner pro vojenské zpravodajství. Takže opět bych se chtěl přimluvit za to, abyste ještě, vážené kolegyně, vážení kolegové, zvážili podporu třeba toho pozměňovacího návrhu, který pouze říká, že zprávy té komise mají být rozšířené o nějaké metriky(?), které by pomohli poslancům se třeba orientovat v tom, jak vojenské zpravodajství funguje.

To už je ode mě vše. Vím, že můj projev byl delší, nicméně leží to tady tři roky. Pracovali jsme na tom poměrně intenzivně, považuji to za důležitý tisk z pohledu i ústavně právního, z pohledu soukromí, takže mi to nedalo a musel jsem pokrýt skutečně všechny ty zdary a nezdary, co se na tom zákoně povedly a nepovedly. Děkuji za pozornost.