Tento článek objasňuje základní právní aspekty této problematiky v právu ČR, jakož i nastiňuje další související vývoj a trendy v této oblasti.
Právní odpovědnost představuje jednu ze základních a nepochybně také nejstarších právních institutů. Pokud se pokusíme analyzovat vývoj této právní úpravy, nepochybně dospějeme k závěru, že v historii existoval mnohdy velmi protikladný vývoj názorů na postavení a odpovědnost člověka ve společnosti, stejně tak jako na vztah jeho svobody a jeho povinností. Tyto - mnohdy spíše filosofické než právní - spory patrně přervávají i dodnes. Jedním z nepochybně nejvýznamnější fenoménů poslední doby je bezesporu problematika související s provozem počítačových sítí (zejména pak Internetu).
PŘÍSLUŠNÁ PRÁVNÍ ÚPRAVA
V právním řádu ČR (ostatně obdobně jako v USA - viz dále) neexistuje zvláštní právní předpis, který by výslovně upravoval problematiku právní odpovědnosti v souvislosti s nedostatečným zabezpečením počítačové sítě. To však zdaleka neznamená, že za provoz takové sítě nemůže být její provozovatel shledán právně odpovědným. Na tuto problematiku lze totiž bez větších problémů aplikovat obecnou právní úpravu, která v tomto ohledu představuje velmi průřezovou oblast protínající řadu ustanovení obchodního, občanského, autorského a trestního práva. [1] V tomto duchu je veden i další výklad této problematiky.
Obdobně jako v právu USA, i náš právní řád umožňuje úspěšně žalovat provozovatele počítačové sítě, jejíž nedostatečné zabezpečení bylo příčinou (byť nikoli přímou a bezprostřední) zásahu do práva, resp. navozeného protiprávního vztahu. Samotná skutečnost, že provozovatel takové sítě nebyl primárním škůdcem (ale pouze se na škodě nepřímo podílel), nemusí být co do přiznání - mnohdy plné výše - žalovaného nároku na náhradu škody (či ušlého zisk) právně významná.
Náš právní řád totiž vychází z principu spoluodpovědností za škodu (odpovědnost, kdy za škodu odpovídá více osob). V případě takové odpovědnosti pak občanský zákoník stanoví jako pravidlo odpovědnost solidární. To znamená, že v případě více škůdců může poškozený subjekt požadovat úhradu celé škody na kterémkoliv z nich. V případě solidární odpovědnosti mají pak subjekty stanovenu povinnost vypořádat se navzájem podle účasti na způsobení vzniklé škody.
Samotná odpovědnost se zde bude řídit zejména občanským zákoníkem, a to konkrétně § 415 až § 450. Vzhledem k výše zmíněné "nepřímé sekundární odpovědnosti" za navozený protiprávní vztah však patrně bude třeba prokázat porušení právní povinnosti. V tomto ohledu se jako nejdůležitější zde zdá být aktuální povinnost předcházet škodám. Předcházení hrozícím škodám je upraveno v § 415 občanského zákoníku, podle něhož "Každý je povinen počínat si tak, aby nedocházelo ke škodám na zdraví, na majetku, na přírodě a životním prostředí.". Jak tomu v případě takovýchto obecných ustanovení obvyklé bývá, velmi významný podíl na výkladu zde hraje judikatura. [2] Protože neexistuje žádná zvláštní úprava, která by stanovila povinnosti provozovatel počítačových sítí, je porušení této obecné povinnosti hlavním právním základem pro jeho případnou odpovědnost. V tomto směru je nepochybně zapotřebí, aby provozovatel učinil určitá opatření směřující k ochraně práv třetích osob. Jednání provozovatele takové sítě, který vědomě zanedbává zabezpečení své sítě (vědomá pasivita), může být kvalifikováno jako porušení povinnosti ve smyslu § 415 ObčZ. Náhrada způsobené škody pak bývá logickým důsledkem tohoto porušení.
NĚKTERÉ NEDOSTATKY ZÁKONNÉ UPRAVY
V tomto ohledu však zůstává otázkou, zda nelze považovat škodu způsobenou provozem nezabezpečené počítačové sítě za škodu způsobenou provozní činností. [3] V takovém případě by šlo totiž o odpovědnost objektivní, která vznikne bez ohledu na zavinění (a existence porušení právní povinnosti). Vymezit tento pojem však není nikterak jednoduché, navíc právní doktrína a judikatura nezastává v tomto ohledu zcela jednotný názor. Dle mého soudu by navíc podřazení provozu za počítačové sítě pod tento typ odpovědnosti (§ 420a ObčZ - odpovědnosti za výsledek) bylo nepatřičné a nepříliš rozumné. [4] Je však otázkou jaký výklad v tomto ohledu zaujme soud, který se dosud touto problematikou nezabýval.
Další významnou roli zde jistě hraje rozsah náhrady škody. Pro vyčíslení případné škody (např. vyčíslení přímých a nepřímých výdajů např. při útocích distribuovaným odmítnutím služby - DDoS), je třeba přesně znát řadu souvisejících údajů. Jako poměrně významné se v tomto ohledu zdá být dokazování prostřednictvím tzv. protokolových souborech (log files). S tím nepochybně souvisí otázka archivace a případná integrita obsahu těchto souborů. V našem právním řádu navíc neexistuje povinnost provozovatelů počítačových sítí tyto soubory archivovat a ani zajišťovat jejich integritu (např. prostřednictvím zaručeného elektronického podpisu).
ZÁVĚR
Jak vyplývá z výše uvedeného, může být provozovatel nezabezpečené počítačové sítě za určitých podmínek shledán odpovědným v rozsahu § 420 ObčZ za nedbalostní porušení § 415 ObčZ (povinnost předcházet škodám). Nedbalost pak může spočívá v tom, že ví o nedostatečné bezpečnosti své sítě a tento stav neodstranil, byť tak učinit mohl (např. zanedbáním instalace příslušného update apod.). V tomto směru je však třeba hodnotit otázku kvalifikované znalosti takovýchto bezpečnostních děr, resp. skutečnost, nakolik je takovému provozovateli nebezpečnost sítě známa, či může být známa, resp. nakolik od něj lze rozumě očekávat aby bezpečnost sítě znal, případně i pravidelně prověřoval.
Přes veškerou opatrnost a péči věnovanou výše popsaným krokům, nelze zcela vyloučit realizaci úspěšného útoku na třetí stranu, a tedy ani možnost případné žaloby na náhradu způsobené škody. V takovém případě bude muset provozovatel této sítě před soudem prokázat, že škodu nezavinil, pouze tak se totiž může zprostit případné odpovědnosti (jde o tzv. vyvinění - exkulpaci). V tomto smyslu je také povinen před soudem označit důkazy vedoucí k prokázání této skutečnosti (nese tzv. důkazní břemeno). Soud poté rozhodne, které z navrhovaných důkazů provede. [5] Za přesvědčivý důkaz vyvinující takovéhoto provozovatele může sloužit zejména výslech svědků (např. pracovníků provozovatele vypovídajících o metodách a bezpečnostních opatřeních na pracovišti), znalecký posudek z oboru ochrany (bezpečnosti) dat potvrzující dostatečné zajištění systému, a řada dalších zejména listinných důkazů (např. zpráv a vyjádření dokládajících stupeň vzdělání pracovníků provozovatele) a nepochybně také výslech účastníků řízení.
Ačkoli se nedomnívám, že je zapotřebí upravit v podobě zákona všechny "nové" právní vztahy vznikající v souvislosti s rozvojem nových informačních technologií, včetně Internetu, [] pociťuji nemalou potřebu dílčí a průřezové úpravy některých vybraných, zejména odpovědnostních, právních otázek. V souvislosti s nepříliš jasnou a zřetelnou právní kvalifikací odpovědnosti provozovatelů počítačových sítí za jejich nedbalost je třeba v brzké době odstranit dvojí možný výklad, resp. poněkud spornou otázku aplikace obecné odpovědnosti dle § 420 a § 420a občanského zákoníku.
Ján Matejka
Abstrakt:
Článek objasňuje některé právní aspekty odpovědnosti za provoz nedostatečně zabezpečené počítačové sítě z pohledu práva ČR, jakož i nastiňuje další související vývoj a trendy v této oblasti. Článek rovněž poukazuje na některá sporné a nepříliš vyhovující ustanovení vybraných zákonných norem.
Literatura:
| [1] |
Jehlička, O., Švestka, J. a kolektiv, Občanský zákoník. Komentář, 4. vydání, C.H. Beck, 1997
|
[2] |
Matejka, J., Čermák, J., Odpovědnost poskytovatele volného prostoru na Internetu za cizí obsah, Právník, 11/2001
|
[3] |
Brejcha, A., Odpovědnost v soukromém a veřejném právu", CODEX BOHEMIA, 2000
|
[4] |
Matejka, J., Vybrané první překážky elektronického obchodu, Parlamentní zpravodaj, 3/2002
|
Poznámky:
| [1] |
Z trestně-právních aspektů této problematiky je třeba zmínit zejména trestný čin poškození a zneužití záznamu na nosiči informací (§ 257a TrZ), který vzhledem k předpokládanému úmyslnému zavinění nelze aplikovat na nedbalostní jednání provozovatele nezabezpečené počítačové sítě. |
| [2] |
Např. bylo odvozeno, že v případě, že by banka znala závažné skutečnosti, které by předem vážně ohrožovaly zjištěný podnikatelský plán klienta, přicházela by v úvahu obecná odpovědnost předcházet škodám a odpovědnost s tím související podle § 415 ObčZ, pokud by na tyto okolnosti klienta neupozornila (Rozsudek Vrchního soudu v Praze sp. Zn. 5 Cmo 347/96.)
|
| [3] |
Podle ustanovení § 420a odst.2 písm. a) se škodou, která byla způsobena provozní činností, rozumí také případ, kdy je škoda způsobena činností, která má provozní povahu, nebo věcí použitou při činnosti
|
| [4] |
Stejně tak lze s úspěchem pochybovat o aplikaci dalšího druhu odpovědnosti, a to odpovědnost za škodu způsobenou okolnostmi, které mají původ v povaze přístroje nebo jiné věci, jichž bylo při plnění závazku použito ve smyslu § 421a ObčZ.
|
| [5] |
V tomto ohledu lze říci, že soud má ale v zásadě povinnost každý takový důkaz provést a vzít v úvahu. Neprovedení takto navrženého důkazu pak musí velmi pečlivě odůvodnit. |
| [6] |
Absenci zvláštního právního předpisu o Internetu v ČR rozhodně nelze – alespoň dle mého soudu – považovat za vytýkatelný nedostatek stávající právní úpravy. Naopak zde lze spatřovat řadu pozitiv.
|
|
