Zákon známý pod názvem Cyber Intelligence Sharing and Protection Act (viz též H.R. 624) se zrodil v USA někdy více než před rokem. A velmi rychle se mu začali věnovat ochránci soukromí, veřejnost i řada subjektů na americkém trhu. Vysloužil si označení jako „pochybený“ a „zavádějící“. Odpůrci se navíc shodli, že ohrožuje online soukromí běžných amerických občanů více, než jakékoliv zákony dosud přijaté.
Smyslem CISPA má být ochrana proti kyberterorismu, zejména v podobě ochrany proti kyberútokům na kritické součásti národní infrastruktury, stejně tak jako proti dalším typem útoků. Jak název napovídá, součástí zákona je i sdílení informací o podobných útocích a aktivitách.
Zásadním nástrojem „ochrany“ je paradoxně možnost prohledávat osobní a citlivá data obyvatel USA s cílem nalezení „ohrožujících informací“. Takovéto informace potom CISPA umožňuje sdílet s dalšími subjekty a americkou vládou. Zásadní na prohledávání je, že CISPA to umožňuje i bez soudního příkazu.
Data uložená v USA
S odvoláním na „kybernetickou bezpečnost“ mohou firmy předávat osobní data uživatelů bez ohledu na to, že jim to fakticky zakazuje zákon či zákony (v USA platné zejména v podobě Wiretap Act, Stored Communications Act, Video Protection Act a Electronic Communications Privacy Act).
Sdílená a předávaná data mohou být jakákoliv – elektronická pošta, fotografie, soubory, hlasová pošta, SMS zprávy, záznamy o aktivitách, atd. To vše bez dohledu soudu a bez možnosti takto konající firmy postihnout. A také bez vědomí těch, jejichž informace budou předávány.
CISPA není náhradou SOPA, PIPA či ACTA – u těchto dohod šlo hlavně o autorská práva a zahraničí, CISPA se skutečně výhradně týká kybernetické bezpečnosti a odehrává se „uvnitř“ Spojených států. Netýká se ale pouze obyvatel, týká se i turistů či imigrantů (legálních i nelegálních). Také se ale týká kohokoliv, kdo má data uložená na serverech v jurisdikci USA.
CISPA v roce 2012 neprošel
Původní návrh CISPA v dubnu 2012 prošel až do Senátu, poté co byl Sněmovnou schválen (248 vs. 168) a Bílý dům se chystal zákon vetovat (s odvoláním na obavy o soukromí a občanské svobody). Senát v té době ale řešil vlastní návrhy podobné legislativy, což je velmi pravděpodobným důvodem, proč CISPA právě tam zamrzl.
V letošním roce se tedy CISPA vrací, s mírnými revizemi. A opět prošel Sněmovnou a míří do Senátu. Ony změny by měly řešit původní ostře kritizované nedostatky, ale skutečnost je taková, že CISPA je stále stejně problematický zákon.
Novější verze dává americké vládě možnost použít získaná data pouze pro „účely kybernetické bezpečnosti“ (na rozdíl od původní „národní bezpečnosti“). Což je stále stejně vágní a široce použitelná (a zneužitelná) definice jako předtím. Firmy jsou zároveň „omezeny“ při získávání informací pouze na své vlastní sítě, což v praxi ale opět neznamená nic. Nová podoba stále umožňuje, pokud je to „nutné“, sáhnout i mimo „vlastní“ sítě.
Čtvrtý dodatek Ústavy? Zapomeňte na něj
Zajímavé na CISPA je, že efektivně umožňuje vládním složkám získávat data o lidech bez soudního příkazu a svolení. Je tak ve skutečnosti likvidací čtvrtého dodatku americké Ústavy. Otázkou nicméně je, zda čtvrtý dodatek náhodou už dávno není mrtvý – stačí si vzpomenout na masové prohledávání elektronických zařízení na hranicích a na řady dalších aktivit.
O co ve čtvrtém dodatku jde? Chrání občany před prohledáváním, zatýkáním a zabavováním majetku bez konkrétního soudního příkazu nebo bez důvodu opravňujícího věřit, že byl spáchán zločin. V kompletním znění vypadá takto:
Právo národa na ochranu svobody osobní a domovní, písemností a majetku nesmí být porušováno neoprávněnými prohlídkami a konfiskacemi; nesmí být vydán rovněž žádný příkaz, který by se neopíral o zdůvodněná zjištění, doložená přísahou nebo jiným způsobem potvrzená, a který by neobsahoval přesné určení místa, které má být prohledáno, přesný popis osob, které mají být vzaty do vazby, a věcí, jež mají být zabaveny.
CISPA sice neumožní americké vládě dostat se bez soudního příkazu k osobním datům a informacím, ale umožní kterékoliv společnosti tato data bez soudního příkazu vydat.
CISPA v roce 2013
Aktualizovaný návrh zákona se, jak už bylo zmíněno, opět dostal do Senátu. Zda projde je otázkou, ale proces je klasický: tak dlouho se to zkouší, dokud se to nepovede. Zejména pokud se pro CISPA podařilo získat otevřenou podporu – IBM, HP, Microsoft i Google například patří mezi firmy, které podporu vyjadřují. Zástupci Facebooku a Twitteru se k nové verzi nijak otevřeně nevyjádřili, ale podporovali verzi předchozí (byť Facebook a Microsoft podle některých zdrojů minulý rok podporu v průběhu procesu stáhli).
Kompletní přehled podporujících najdete případně v H.R. 624 – Letters of Support, byť některé firmy v seznamu nejsou. Třeba proto, že Google, Yahoo a Microsoft podporu realizují prostřednictvím obchodních skupin.
Pro americké firmy je CISPA určitým způsobem výhodná – dává jim možnost legálně a bez rizik předávat informace vládním organizacím, ale také jim umožní bez problému řešit některé bezpečnostní situace. Bez obav z všudypřítomné hrozby právních sporů, týkajících se soukromí uživatelů. Nechápejte tedy případnou podporu CISPA od zmíněných firem jako něco čistě negativního.
Je samozřejmě na zodpovědnosti firem, jak a v jaké míře budou data předávat. CISPA firmám neukládá povinnost data sdílet. A zodpovědná firma může z jakýchkoliv předávaných dat osobní či citlivé informace vždy odstranit. CISPA, na druhou stranu, něco takového neukládá.
Odpůrci CISPA se tradičně objevují hlavně v podobě organizací ochraňujících soukromí – EFF, ACLU či Reportéři bez hranic. Mezi kritiky ale najdete třeba i Mozillu. Z osobností například Tima Bernerse-Lee. Tato petice proti CISPA má přes 600 tisíc podpisů a zdaleka není jediná.
TIP: Již zmíněná EFF (Electronic Frontier Foundation) nabízí obsáhlé otázky a odpovědí k CISPA (viz CISPA is Back: FAQ on What it is and Why it's Still Dangerous)
Jak už bylo řečeno, návrh CISPA se znovu přes Sněmovnu dostal do Senátu. Cesta ke schválení je tradičně doprovázena utajováním. A taky dodatky, které se na poslední chvíli různé subjekty pokoušely k CISPA „dolepit“, ale kterým se nepodařilo projít. Mezi nepochybně nejzábavnější dodatek patřil ten, který by umožňoval americkým firmám ponechat v Podmínkách užívání záruky soukromí a efektivně tak uživatelům lhát.
Jak dopadne CISPA v Senátu? To není jasné, může dojít ke stejné situaci, jaká nastala už loni. CISPA se zde zastaví a dál nepůjde a platným zákonem se nestane. V cestě nicméně ještě stále stojí Bílý dům a možné veto prezidenta. Vše se každopádně týká USA a tamních obyvatel a legislativních procesů. Byť se CISPA může dotknout i lidí z dalších zemí, nemůžeme dělatnic než čekat, jak to celé dopadne.
ČLÁNKY DO MAILU