Minulý týden zablokovala americká FBI přes tři desítky doppelgangerů – proruských dezinformačních klonů velkých evropských a amerických zpravodajských médií. Stejný systém podvodných webových stránek, který využívají šiřitelé proruských dezinformačních kampaní, používají i kyberzločinci. Za každým podvodným či dezinformačním webem přitom stojí poskytovatel služeb – hosting. Obsah, jejž na své stránky nahrávají jejich klienti, hostingy samy od sebe neregulují. Zákon jim to totiž neukládá. Výjimkou jsou takzvané velmi velké platformy, tedy platformy s více než 45 miliony uživatelů v EU, od nichž se požaduje moderování obsahu. Na to, za jakých okolností nesou hostingy odpovědnost za obsah nahraný jejich uživateli a co si myslí o odpovědnosti šéfa Telegramu před francouzským zákonem, jsme se ptali odborníka na právo v oblasti IT, advokáta Bohuslava Lichnovského.
Zajímalo by mě, zda hostingové společnosti mají povinnost samy od sebe hlásit nelegální obsah nebo obsah, který porušuje autorská práva, orgánům veřejné moci, případně jej zablokovat.
Primárním znakem pasivního poskytovatele hostingu, tedy takového, který se nepodílí na vytváření nebo nahrávání obsahu, je to, že obsah nahrávají na platformu jeho samotní uživatelé, a poskytovatel tak nemá povědomí o tom, co se na hostingu nachází nebo nenachází. Poskytovatel současně nemá povinnost dohledávat a odstraňovat protiprávní obsah. České i evropské soudy v tomto směru opakovaně rozhodly, že pokud má poskytovatel jen obecné povědomí o tom, že někteří uživatelé jeho služeb můžou jednat protiprávně, nemusí nic činit.
Jestliže je ale na problematický obsah někdo upozorní, pak už jednat musí?
Pokud je hostingu cokoli problematického dostatečně a konkrétně nahlášeno, musí takto nahlášený obsah odstranit nebo znemožnit jeho sdílení. Jestliže by navíc sdílením souboru docházelo k páchání trestného činu a poskytovateli hostingu byl soubor s touto informací nahlášen, pak se na poskytovatele vztahují povinnosti podle českého trestního zákoníku, který u některých trestných činů obsahuje povinnost trestný čin nahlásit, popřípadě překazit jeho konání. Orgány činné v trestním řízení si poté můžou vyžádat další informace. Pokud ale například dochází jen k porušování autorských práv, pak neexistuje povinnost tuto aktivitu ohlásit a poskytnout údaje o uživateli, až na případ, kdy si držitel práv či policie tyto údaje přímo vyžádá – poskytovatel přitom musí zabránit dalšímu porušování práv, tedy nahlášený soubor smazat.
[caption id=“attachment_42862” align=“alignright” width=“198”]
Advokát Bohuslav Lichnovský | Zdroj: archiv Bohuslava Lichnovského[/caption]
Pokud domény k nahrání nelegálního obsahu poskytl přeprodejce hostingu, nikoli původní hosting, kdo má za odstranění obsahu odpovědnost?
Nesetkal jsem se s tím, že by taková situace byla v praxi častěji řešena, popřípadě že by se dostala do fáze soudního řízení. Z hlediska práva je tomu tak, že oba poskytovatelé jsou poskytovateli hostingu a vztahuje se na ně stejná úprava, jaká je popsána výše. Takže u každého poskytovatele je odpovědnost za uložený obsah vyloučena jen tehdy, jestliže po nahlášení obsah odstraní. V praxi bych čekal, že pokud budou nahlášení častější, primární poskytovatel hostingu zablokuje resellerovi účet, mimo jiné pro porušení smlouvou definovaných pravidel hostingu, a to bude konec příběhu.
Kdo může nahlásit problematický obsah – pouze držitel autorských práv, nebo jakákoli privátní osoba, například v případě proruských doppelgangerů novinář?
Vždy záleží na typu obsahu. Jestliže se na hostingu objeví obsah, který podporuje násilí nebo se týká dětské pornografie, je zcela zřejmé, že je nezákonný, a každý, kdo to zjistí, to může a měl by nahlásit.
Situace s autorským obsahem je ale jiná. Ten není sám o sobě nezákonný, ale nesmí být sdílen bez souhlasu držitele autorských práv. Poskytovatel ale současně nemá prostředek, jak si ověřit, zda nahrávající uživatel je sám držitelem práv nebo má od držitele práv licenci. Proto poskytovatelé hostingu často vyžadují, aby oznámení o porušení autorských práv podal buď přímo držitel práv, nebo osoba pověřená držitelem. Jenom držitel práv nebo jeho zástupce totiž můžou s jistotou vědět, zda bylo právo skutečně porušeno.
Na jaký druh oznámení o nelegálních aktivitách je hosting povinen reagovat – například automatické reporty od držitelů práv nebo požadavky o spolupráci od oficiálních úřadů či policie?
Řečeno velmi zjednodušeně, musí reagovat na všechny požadavky. Nejjednodušší je to u orgánů veřejné moci, kde jsou povinnosti stanoveny poměrně jednoznačně. Například co se týče povinnosti poskytnout součinnost orgánům činným v trestním řízení, což se nejčastěji projevuje jako žádost o poskytnutí informací o určitém identifikovaném uživateli, tedy jeho uživatelské jméno, e-mail, bankovní účet či konkrétní sdílený soubor a informace o aktivitách takového uživatele, případně žádost o uložení a vydání souborů sdílených takovým uživatelem.
Složitější je situace u privátních ohlašovatelů. V tomto případě musí hostingy reagovat ihned, jakmile se dozví o souboru, jehož sdílením se porušují práva třetích osob. Může se jednat o soubory porušující autorská a s nimi související práva nebo o soubory porušující práva na ochranu osobních údajů a osobnosti, například takzvané revenge porn (tedy pornografie zveřejněná bez souhlasu za účelem pomsty, pozn. red.), případně o soubory, jejichž držení nebo sdílení je samo o sobě trestným činem, třeba dětská pornografie. V praxi se nejčastěji řeší spory s držiteli autorských a souvisejících práv, jelikož ohlašovatelé mají nejvíce prostředků na ochranu svých práv.
Co podoba oznámení? Jak má oznámení vypadat?
O tom se dlouhou dobu diskutovalo – zda poskytovatelům hostingových služeb stačí nahlásit jen výskyt díla, aby museli konat. Například jen obecně oznámit, že hosting „má na úložišti film Star Wars“, nebo je nutno uvést odkazy na konkrétní soubory, které porušují autorská práva? Odpověď na to jsme dostali nedávno, když vrchní soud v Praze rozhodl, že nahlásit pouze výskyt díla nestačí. To přineslo vítanou míru jistoty do vztahů mezi poskytovateli hostingů a držiteli práv.
Na hostingu se také můžou vyskytovat uživatelé, kteří šíří phishingové kampaně. Jak se postupuje v jejich případě?
Phishing je ve své podstatě pokus o neoprávněný přístup k počítačovému systému nebo podvod, tedy pokus o trestný čin. Můžeme se zde opřít o rozhodnutí českého Úřadu pro ochranu osobních údajů v příbuzné oblasti, podle kterého je společnost, jež provozuje platformu na zasílání obchodních sdělení, spoluzodpovědná za obsah těchto sdělení. Tedy i v případě phishingových e-mailů můžeme čekat, že pokud by si provozovatel platformy byl vědom, že jejím prostřednictvím dochází ze strany určitého uživatele k phishingu, a nijak nekonal, mohl by být spoluzodpovědný.
Případů, kdy by odesílatel phishingu byl odsouzen, je ale v porovnání s počtem phishingových kampaní pouze nepatrný zlomek. Důvodem je zřejmě skutečnost, že odsoudit autory phishingových kampaní je téměř nemožné, protože se často nacházejí ve třetích zemích.
Takže problém spočívá v obtížnosti dohledání lidí odpovědných za tyto kampaně?
Často není jasné, kdo ve skutečnosti stojí za phishingovou kampaní, a tedy není snadné identifikovat konkrétního pachatele. To znamená, že běžný uživatel nebo osoba postižená phishingem mnohdy nemá možnost ani ambici se touto cestou po samotném pachateli domáhat spravedlnosti nebo odškodnění.
Platí výše řečené i pro případ Pavla Durova, šéfa Telegramu, který byl nedávno zadržen ve Francii? (Rozhovor proběhl před propuštěním Pavla Durova z vazby, pozn. red.)
Podle veřejně dostupných informací byl Durov obviněn zejména z toho, že napomáhal přechovávání dětské pornografie, pašování drog a podporování organizovaného zločinu. Důvodem zatčení je podle všeho fakt, že Telegram nespolupracoval s francouzskými orgány, když formálně požádaly o informace. Můžeme předpokládat, že základem vnímaného porušení předpisů je to, že Telegram nezastavil protiprávní jednání uživatelů, o kterém byl informován, čímž se otevřela cesta k jeho obvinění ze spolupachatelství trestných činů. A zadruhé jde rovněž o neplnění požadavků policejních orgánů na součinnost, což může být samostatný trestný čin.
https://youtu.be/RsYencnmvh4?si=1rj7A3WR0vrNk_yp
Telegram by ale mohl namítat, že žádné informace nemohl poskytnout, jelikož obsah je předmětem end-to-end šifrování a můžou jej tak číst jen uživatelé.
Taková námitka pravděpodobně neobstojí, jelikož dle veřejných informací je takto šifrovaná jen malá část zpráv a z povahy věci nemůžou být podobně šifrovány identifikační a kontaktní údaje uživatelů. V každém případě by ani toto nemohlo být důvodem pro nesoučinnost a nevydání údajů o uživatelích identifikovaných policií.
Současně se Durovovo obvinění týká i napomáhání k praní špinavých peněz díky vlastní kryptoměně Stars a neplnění požadavků legislativy AML. Zde se již Telegram nemůže vymlouvat na režim vyloučení odpovědnosti hostingu, jelikož tato aktivita s hostingem (uchováváním informací uživatelů) nijak nesouvisí.
Více informací o kauze nyní nemáme, proto musíme vyčkat na její další vývoj. Celá záležitost bude jistě extrémně složitá a potáhne se řadu let. V konečném důsledku však můžeme očekávat, že Telegram bude přinucen brát požadavky národních orgánů, které dosud ignoroval, vážně.
Existují hostingy, jež záměrně nereagují na oznámení škodlivého obsahu. Říká se jim bulletproof, tedy neprůstřelné. Existují nějaké legislativní nástroje, které umožňují proti nim bojovat?
To je dobrá otázka, na kterou momentálně hledáme odpověď. Držitelé práv se nyní na základě soudních řízení pokoušejí ukládat poskytovatelům internetového připojení povinnost blokovat různé weby, často i opakovanými pokusy u různých soudů. Nejproblematičtější na tom je, že poskytovatelé hostingu mnohdy ani nejsou účastníky řízení a nemůžou se tak nijak bránit. Podle mého názoru je takový přístup v rozporu s principy v novém nařízení DSA (Akt o digitálních službách, pozn. red.), které pro blokaci hostingu z důvodu výskytu obsahu o násilných trestných činech požaduje několikastupňové řízení a také soudní rozhodnutí, k němuž se poskytovatel může vyjadřovat a účastnit se ho. Proto si nemyslím, že je správné, aby pro „pouhé“ porušení autorských práv bylo možné odříznout poskytovatele hostingu od internetu prostřednictvím blokací přímo na úrovni poskytovatelů připojení, tedy bez možnosti se jakkoli bránit. Jak už jsem říkal, zatím se o této otázce diskutuje a chybí definitivní rozhodnutí vyššího soudu, jež by to zakazovalo.
Řada bulletproof hostingů je však vysloveně nakloněná spolupráci s kyberzločinci. Navíc hostingy nemají povinnost provádět proces ověřování identity klienta, takzvaný KYC (know your customer), je to tak?
Přesně tak, poskytovatel hostingu není podle zákona o opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu povinnou osobou. Na poskytovatele tak dopadá jen úprava ochrany osobních údajů (GDPR), která velmi zkráceně uvádí, že poskytovatel může uchovávat jen ty údaje, jež potřebuje pro své legitimní účely. Typicky jde o poskytování služeb a ochranu svých práv v případě sporů, popřípadě v rozsahu nezbytném pro splnění právních povinností. Údaje, které poskytovatel nepotřebuje, uchovávat nejen nemusí, ale ani nesmí – porušoval by tím zásadu minimalizace podle GDPR.
Současně se Soudní dvůr EU opakovaně vyjádřil, že plošné a nerozlišující uchovávání provozních údajů všech uživatelů je v rozporu s právem EU. Ze strany poskytovatelů hostingových služeb tak není důvod tento režim měnit, procesy KYC jsou náročné na zavedení a zvyšují cenu služby. Na druhou stranu pak držitelé práv můžou namítat, že pokud některý uživatel sdílí protiprávní obsah, nemůže jim o něm poskytovatel poskytnout všechny informace, které by chtěli, jednoduše proto, že poskytovatelé tyto údaje nemají.
Umíte si vůbec představit, že by se povinnost provádět KYC u hostingů přece jen zavedla?
Domnívám se, že nejde pouze o regulaci hostingů, ale celého internetu. V současnosti je to tak, že se každý může připojit na internet bez toho, aby se identifikoval. Samozřejmě by bylo možné zavést opatření, kdy by byl dosud anonymní uživatel internetu vždy vázán na konkrétní fyzickou osobu. Ale to zatím rozhodně není v legislativním plánu, ani na úrovni Evropské unie. Na druhou stranu, jak se velká část různých aktivit víc a víc přesouvá do online prostředí, bude tlak na adekvátní regulaci časem sílit. Podle mého názoru bez úpravy tímto směrem nebude možné efektivně čelit online kriminalitě. Tím současně neříkám, že by taková cesta byla správná. Navíc regulace na úrovni jednoho státu by nic neřešila – pachatelé online kriminality by se jen přesunuli do státu, který autentizaci uživatelů internetu nepožaduje.
Co když je klientem hostingu sankcionovaná osoba či entita? Pokud není hosting povinen provádět KYC, pak to nezjistí.
Záleží na tom, o jakou sankcionovanou entitu se jedná a jakých činností se zákaz týká – každé sankční opatření je odlišné a vždy zakazuje jen určité činnosti, například dovoz zboží dvojího užití. Ale máte pravdu, když neprobíhá autentizace uživatele hostingu podle občanského průkazu, tak hosting těžko zjistí, že se jedná o sankcionovanou osobu. To ale platí i v reálném světě. Jestliže do kavárny přijde ruský občan pod sankcemi a bude si chtít koupit kávu, také se mu to povede. Další problém je, že i kdyby se KYC provádělo, v praxi to sankce nevyřeší, protože je snadné obejít je prostřednictvím třetích stran.
Mají poskytovatelé hostingu vůbec zájem na tom, aby své klienty udávali? Vždyť si u nich kupují služby a mají díky nim zisk…
Je pravda, že z pozice hostingu chcete maximalizovat užívání svých služeb a snižovat náklady. Netýká se to jen hostingu, ale všech poskytovatelů mediačních nebo zprostředkovatelských služeb. Pokud budou dělat KYC jen oni a ostatní poskytovatelé ne, bude to pro ně konkurenční nevýhoda na trhu. Jejich klienti odejdou k těm, kteří KYC nedělají.
Naopak držitelé autorských práv chtějí, aby byly hostingy regulovány co nejpřísněji. Pravděpodobně by zavedení KYC uvítali. Poskytovatel hostingu by podle nich měl veškerý obsah, který na platformu nahraje, předem prohlédnout a zanalyzovat a takto zjistit, zda neporušuje nějaká autorská práva, což by však vyžadovalo obrovské lidské i technické kapacity. Navíc stoprocentní odhalení obsahu porušujícího práva třetích osob, když jen například písní na Spotify jsou sta miliony, je nemožné. Současně, jak už jsme říkali, poskytovatel hostingu ani nemá jak zjistit, jestli osoba nahrávající obsah není autorem nebo nemá od autora licenci. Zkrátka jak poskytovatelé hostingu, tak držitelé práv mají zcela odlišné představy o ideálním fungování hostingů.
Která z těchto protistran zatím vyhrává?
Podle práva EU a názorů Soudního dvora EU je ochrana práva na svobodu projevu absolutní, oproti tomu ochrana autorských práv absolutní není. To znamená, že se více chrání svoboda projevu než autorská práva, a nastavení zákonů je proto záměrně vychýleno ve prospěch svobody projevu. Vysvětluje se to tím, že čím přísnější jsou mechanismy na filtraci obsahu porušujícího autorská práva, tím více to vede k overblockingu – tedy blokování obsahu, které pro nadměrnou přísnost filtru odstraňuje také legitimní obsah. Například pokud zadáte blokaci čehokoli obsahujícího sebemenší část filmu Pán prstenů, budete tím blokovat veškeré parodie, kritické recenze a podobné věci. Proto je nutné nastavit hranice tak, aby byly spokojeny obě strany.
[infobox heading=""] 
Bohuslav Lichnovský absolvoval Právnickou fakultu Masarykovy univerzity a postgraduální studium na University of London. Je opakovaným držitelem ocenění Rising star v žebříčku Legal500 pro oblast TMT (telekomunikace, media, technologie). Vedl největší projekty v oblasti IT práva a ochrany osobních údajů v České republice, které byly každoročně hodnoceny na nejvyšších místech v mezinárodních právních žebříčcích.[/infobox]
