Autoreferat - Instytut Prawa Międzynarodowego
Transkrypt
Autoreferat - Instytut Prawa Międzynarodowego
UNIWERSYTET WARSZAWSKI Wydział Prawa i Administracji Instytut Prawa Międzynarodowego MGR ANNA KAŃCIAK Ochrona cyberprzestrzeni w świetle prawa Unii Europejskiej autoreferat rozprawy doktorskiej Promotor: prof. UW dr. hab. Robert Grzeszczak Recenzenci: prof. PAN dr hab. Monika Szwarc prof. UWr dr hab. Dariusz Adamski Warszawa, wrzesień 2016 r. 1. Przedmiot i cel rozprawy Przedmiotem rozprawy jest ochrona cyberprzestrzeni w świetle prawa Unii Europejskiej. Jej analiza została przeprowadzona w dwóch zasadniczych perspektywach. Osią rozważań w pierwszej i szerszej perspektywie jest realizacja przez Unię Europejską zadań w wymiarze governance w przestrzeni wolności bezpieczeństwa i sprawiedliwości (PWBiS), z uwzględnieniem przestrzeni cyfrowej, jako jej nowego elementu. Druga zaś, węższa, związana jest z zagrożeniami i potrzebą ochrony elementów tworzących cyberprzestrzeń oraz projektem systemowego przeciwdziałania tym zagrożeniom. W efekcie rozpoczęcie rozważań od zagadnień wprowadzających oraz teoretycznych, przechodząc następnie do części badawczej i kończąc na części wnioskowo-koncepcyjnej, pozwoliło na osiągnięcie celu podjętych badań, którym jest sformułowanie propozycji systemu ochrony cyberprzestrzeni na gruncie prawa UE. Wiele argumentów przemawia za aktualnością i wagą problematyki ochrony cyberprzestrzeni, począwszy od cyberataków. W literaturze najczęściej są przywoływa ne cyberataki na Estonię z 2007 r., uznawane powszechnie za jedne z najpoważniejszych ataków komputerowych na konkretne państwo w historii. Jednak już rok później, podczas tzw. „wojny sierpniowej”, cyberatak został częściowo powiązany z działaniami militarnymi, kiedy podczas krótkotrwałej wojny na granicy rosyjsko-gruzińskiej obiektem ataków stały się gruzińsk ie strony internetowe. Z kolei w 2010 r. robak komputerowy – Stuxnet – został użyty do szpiegowania i ataków na systemy przemysłowe firmy Siemens, wykorzystywane między innymi w elektrowniach atomowych. Wówczas zainfekowane zostały systemy w kilku krajach, ale obiektem największego ataku był Iran, gdzie Stuxnet zainstalował się w 16 tysiącach komputerów. Skalę problemu oddają dane dotyczące liczby cyberataków na rządowe sieci w Stanach Zjednoczonych, która wzrasta w rekordowym tempie 1300 procent w ciągu 10 lat. Niepokojące rekordy pod względem skali odnotowywane są również w Polsce, kiedy w kwietniu 2016 r. klienci ponad dwustu banków zostali zaatakowani przez złośliwe oprogramowanie GozNym, co to było pierwszym cyberatakiem na taką skalę. Podjęta problematyka, szczególnie wobec przytłaczającej ilości informacji powszechnie dostępnych w środkach masowego przekazu oraz bogatej literatury poświęconej podjętemu tematowi, tak powszechna w życiu codziennym i w świadomości jednostki, nie jest jednak łatwą w analizie. Dzieje się tak z kilku przyczyn – a zwłaszcza nierzetelności informac ji i danych. Innymi słowy kwantytatywność nie spotyka się z kwalitatywnością informac ji 2 i materiałów. Każde kolejne cyberprzestrzeni, definicji zagadnienie terminów dotyczące z nią podstawowych związanych, kwestii, zagrożeń, tj. istoty umiejscowie nia w dziedzinach prawa, a przede wszystkim podstaw prawnych ochrony przestrzeni cyfrowej okazują się być niepełne, chaotycznie umiejscawiane, a często błędnie charakteryzowane. Ilość zagadnień, które obejmuje cyberprzestrzeń powoduje dużą trudność w przypisaniu podstaw prawnych do konkretnego tematu. Dodatkowo jedno zagadnienie nierzadko bywa przedmiote m kilku wytycznych strategicznych, charakterystycznych dla PWBiS, które z uwagi na poziom ogólności stają się bardziej prezentacją rozwiązań idealnych niż konkretnych działań określonych na poziomie politycznym UE. Problematyka cyberprzestrzeni, co zostało już podkreślone, złożona jest i wielowątkowa, a jej zakres w zasadzie nie został w pełni rozpoznany. Odstąpiłam jednak w rozprawie od deskryptywnego i wtórnego zaprezentowania wszystkich pojęć związanyc h z cyberprzestrzenią oraz wyliczania proponowanych definicji na rzecz przybliżenia trudności terminologicznych, które pojawiają się w aspekcie prawnym poruszanej problematyki. Wieloaspektowość oraz transgraniczność cechujące cyberprzestrzeń nabierają szczególnego znaczenia wobec najczęściej pojawiających się pytań: jak zapewnić poufność i wiarygodność danych oraz prywatność obywateli; jak chronić informacje i użytkowników cyberprzestrzeni; jakie inicjatywy w tym zakresie powinny podjąć rządy; kto w zasadzie powinien podjąć te działania i jak zorganizować system ochrony cyberprzestrzeni odpowiedni na poziomie unijnym oraz krajowym, zapewniając ochronę infrastrukturze informatycz nej, danym i informacjom oraz użytkownikom cyberprzestrzeni. Udzielenie odpowiedzi na te pytania wymaga połączenia rozważań teoretycznych oraz doświadczeń praktycznych. Oznacza to potrzebę zestawienia wiedzy na temat charakterystyk i cyberprzestrzeni i jej elementów, aktualnego stanu prawnego z działaniami podejmowanymi przez instytucje UE oraz państwa członkowskie w zakresie ochrony cyberprzestrze ni. Połączenie tych aspektów pozwala na dokonanie oceny ochrony cyberprzestrzeni w świetle prawa Unii Europejskiej przy jednoczesnej identyfikacji słabych i mocnych jej stron. Celem rozprawy jest przybliżenie i analiza aktualnych podstaw prawnych ochrony elementów cyberprzestrzeni w prawie UE, wskazanie wadliwych rozwiązań oraz braków w tej ochronie i zaprezentowanie sposobów ich poprawy, zgodnie z przyjętą w rozprawie metodologią. Z kolei proponowane rozwiązania naprawcze stanowią nowy, autorski pomysł, który będzie weryfikacją przyjętej hipotezy z odwołaniem się do bieżących prac UE na tle aktualnych założeń lepszego stanowienia prawa. 3 2. Metody badawcze W rozprawie wykorzystano dwie prawnoporównawcze metody badawcze, tj.: metodę historyczno-opisową oraz formalno-dogmatyczną. Użycie pierwszej z nich może wzbudzać pewne wątpliwości z uwagi na wciąż przypisywany problematyce cyberprzestrzeni atrybut nowości i innowacyjności, a przez to ryzyko niepojawienia się znaczących postępów w systemie prawa w krótkim czasie. Jednak okres 25 lat, który minął już od momentu rozpoczęcia prac w Europie na rzecz budowy ram prawnych przestrzeni cyfrowej, jest wystarczający na zobrazowanie zmian w prawie UE dotyczących przestrzeni cyfrowej. Z kolei metoda formalno-dogmatyczna, oparta na analizie relewantnych źródeł prawa, wzbogaca jakościowo rozważania o charakterze opisowym, tworzy możliwość formułowa nia założeń niesprzecznego systemu prawa. Oczywiście istnieje ścisła zależność między obiema metodami. Prezentowanie historii rozwoju pewnych elementów ochrony cyberprzestrzeni nie jest możliwe bez wyjaśnienia relacji pojęciowych na różnych etapach rozwoju prawa. Z kolei przywoływanie dogmatyki bez kontekstu historycznego prowadzi do niepełnego obrazu istoty i otoczenia prawnego. Tym samym wybrana metoda najlepiej służy weryfikacji hipotezy, ponieważ pozwala na prawidłowe zrozumienie relacji między poszczególnymi etapami rozwoju regulacji prawnych związanych z ochroną elementów cyberprzestrzeni. Badania naukowe w rozprawie zostały przedstawione w oparciu o metodę indukcyjną oraz układ trójstopniowy. Rozpoczęto je odpowiednio od zaprezentowania szczegóło wyc h zagadnień teoretycznych związanych z ochroną cyberprzestrzeni. Pozwoliło to w kolejnych etapach na przejście do wymiaru praktycznego, by na końcu wywodu dokonać empiryc znej weryfikacji hipotezy i zaprezentować ogólne wnioski z przeprowadzonych badań. Kilkuetapowy proces badawczy o charakterze eksploracyjnym pozwolił na rozpoznanie istniejącego stanu wiedzy w zakresie teorii i praktyki odnośnie do ochrony cyberprzestr ze ni w wymiarze unijnym oraz na poziomie państw członkowskich. 3. Tezy badawcze Podstawowe założenie rozprawy doktorskiej stanowi, iż istnieje wyraźna i pilna potrzeba podjęcia przez Unię Europejską działań na rzecz stworzenia spójnego systemu ochrony cyberprzestrzeni. Celem tego systemu miałoby być zapewnienie większej efektywności działań UE, unikanie powielania agend i dublowania prac unijnych podmiotów, zaangażowanych w relewantną problematykę. Ponadto proponowany system pozwoliłby na 4 spełnienie warunku aktualności i ważności prawa w świetle nieuchronnego procesu cyfryzac ji oraz dokonujących się zmian technologicznych. Jednocześnie słowo „system” kierunkuje na wymiar strategiczny podejmowanego tematu. Wraz z wyborem problemu badawczego, poświęconego ochronie cyberprzestrze ni w prawie UE, postawiono ogólne i szczegółowe pytania badawcze oraz tezy, które wykorzystano w próbie wyjaśnienia pojawiających się wątpliwości. Rozpoczynają je kwestie rudymentarne związane z problemem terminologicznym. Podnoszony w literaturze zarzut braku legalnej Ta wątpliwość definicji cyberprzestrzeni z kolei dotyczy również nasuwa pytanie pozostałych o potrzebę jej tworzenia. terminów z nią związanyc h, tj. cyberbezpieczeństwa i cyberprzestępczości. Wobec wątpliwości definicyjnych, zastanawia znaczenie rozwoju cyberprzestrzeni oraz systemów technologii informacyjno-komunikacyjnej (TIK) dla funkcjonowania państw członkowskich i Unii Europejskiej oraz ich oddziaływa nie na kształt społeczeństwa i gospodarek. Wiąże się to także z tzw. strategią jednolitego rynku cyfrowego (ang. digital single market), tj. kompleksowymi działaniami legislacyjnymi w UE na rzecz utworzenia przestrzeni, w której zapewniony jest swobodny przepływ towarów, osób, usług i kapitału, a obywatele i przedsiębiorstwa mogą bez przeszkód i na zasadach uczciwej konkurencji uzyskać dostęp do usług online lub je świadczyć. Problematyka ta została zaprezentowana w rozprawie na tle dwóch kierunków działań UE związanych z ochroną cyberprzestrzeni, tj. bezpieczeństwa sieci i informacji w związku z rozwojem systemów technologii informacyjno-komunikacyjnej oraz ochrony użytkowników i ich aktywności w cyberprzestrzeni. Analiza wskazanych kierunków została przedstawiona w rozprawie z perspektywy pojawiających się problemów z tworzeniem podstaw prawnych, określaniem i podziałem zakresów kompetencyjnych pomiędzy UE i państwami członkowskimi oraz unijnym procesem legislacyjnym. W efekcie należało zastanowić się czy wykreowana dwukierunkowość jest sztucznym podziałem, czy przeciwnie, wynika z natury przestrzeni cyfrowej. Kolejna wątpliwość pojawiła się w związku z potrzebą zapewnie nia wspólnych standardów ochrony przestrzeni cyfrowej i bezpieczeństwa w jej ramach na poziomie państw członkowskich. Tym samym stawianymi pytaniami są zwłaszcza: czy potrzebne jest bardziej zintegrowane podejście Unii Europejskiej w tym zakresie; w jakiej formie powinno być ono zaprezentowane; czy należy podjąć prace nad budową wspólnego systemu ochrony cyberprzestrzeni w UE i czy mogą one przyczynić się do rzeczywiste go usunięcia rozbieżności w podejściu państw członkowskich? 5 Charakter pytań i tez badawczych wiąże się ze stanem wiedzy i prowadzonymi badaniami – zagranicznymi i krajowymi – oraz z wyzwaniami w zakresie cyberprzestrzeni i jej ochrony wobec postępu technologicznego. Zmiany w otoczeniu społeczno-gospodarc zym, będące skutkiem cyfryzacji, stawiają nie mniej ważne pytanie o aplikowalność aktualnego systemu prawnego oraz nieadekwatności przepisów prawa pochodnego do nowych i nieznanych twórcom tego prawa stanów faktycznych. Mając na uwadze, że prawo jest dynamiczne, ale rozwija się ono wolniej niż stosunki społeczne i gospodarcze, nie dziwi to, że tempo wprowadzania zmian w prawie UE nie odpowiada rozwoju przestrzeni cyfrowej. Czy zatem istnieje możliwość wprowadzenia takiego mechanizmu, który zapewni jednoczesną weryfikację i modyfikację rozwiązań prawnych dokonywanych paralelnie do analizy kierunków i tendencji rozwoju systemów TIK? Podstawowe pytania, w związku z hipotezą niniejszej rozprawy są następujące: czy w Unii Europejskiej należy podjąć prace na rzecz stworzenia systemu ochrony cyberprzestrzeni, czy powinny one mieć charakter ustawodawczy, czy może powinny pozostać na poziomie aktów prawa miękkiego, jakie elementy powinny zostać nimi objęte i w końcu czy założenia będą odpowiednie wyłącznie dla UE, czy będą miały zastosowanie również w skali krajowej. Odpowiedzią na postawione pytania są zaprezentowane na końcowym etapie procesu badawczego założenia systemu ochrony cyberprzestrzeni w Unii Europejskiej. Oznacza to przyjęcie tym samym hipotezy szczegółowej, zgodnie z którą można wprowadzić taki system, który wypełni istniejące luki i będzie stanowił podstawę do odparcia zarzutów dotyczących wielowątkowości działań UE oraz towarzyszącego im chaosu kompetencyjnego. 4. Struktura rozprawy Tak zakreślone podstawowe cele badawcze i założone metody ich prowadzenia zdeterminowały formę i strukturę pracy. Niniejsza rozprawa składa się z sześciu rozdzia łów, tworzących wywód, jak opisałam już, poświęcony analizie aktualnej ochrony cyberprzestr ze ni w świetle prawa Unii Europejskiej oraz potrzebom i możliwościom jej zmiany. Podjęcie tej problematyki, łączącej tak szerokie spektrum zagadnień, wiąże się z koniecznoś c ią wyselekcjonowania najistotniejszych i priorytetowych elementów problemu i ich czytelne go zaprezentowania. Stąd przyjęto w niniejszej rozprawie układ trójstopniowy. Pierwsza część, obejmująca trzy pierwsze rozdziały, została poświęcona wyjaśnieniu podstawowych pojęć związanych z cyberprzestrzenią, zaprezentowaniu tendencji będących 6 wynikiem procesu cyfryzacji oraz pojawiających się zagrożeń dla bezpieczeństwa w przestrzeni cyfrowej. Drugi etap, do którego należy zaliczyć rozdział czwarty i piąty, ma charakter badawczy. Trzeci, zasadniczy etap stanowi rozdział szósty. Zostały w nim zaprezentowane rezultaty analiz oraz wyniki przeprowadzonych badań, których celem jest sformułowanie koncepcji systemu ochrony cyberprzestrzeni w świetle prawa UE. W rozdziale pierwszym przybliżono rozwój cyfrowego rynku wewnętrznego, ze szczególnym uwzględnieniem znaczenia handlu elektronicznego i usług społeczeństwa informacyjnego oraz istotnych zmian w PWBiS. W rozdziale drugim zaprezentowano źródła i rodzaje zagrożeń dla bezpieczeństwa poszczególnych elementów cyberprzestrzeni. Intensywny rozwój cyberprzestępczości wiąże się z problematyką jurysdykcji w cyberprzestrzeni, która pozostaje jednym z najistotniejs zyc h wyzwań dla wymiarów sprawiedliwości poszczególnych państw członkowskich oraz ich organów ścigania. Stąd w rozprawie uwzględniono prezentowane w literaturze przedmiotu poglądy oraz koncepcje jej zorganizowania. Proces cyfryzacji i wzrost wykorzystania przestrzeni cyfrowej na rzecz poprawy kondycji europejskiej gospodarki oraz standardu życia obywateli UE wiążą się z ideą społeczeństwa informacyjnego oraz budową europejskiej przestrzeni informacyjnej. W trzecim rozdziale rozprawy została zaprezentowana problematyka cyberbezpieczeństwa na tle bezpieczeństwa wewnętrznego UE oraz rozważania na temat umiejscowienia cyberprzestr ze ni w ramach PWBiS. W rozdziale czwartym zostały zbadane wybrane elementy systemów prawnych czterech państw członkowskich, tj. Królestwa Niderlandów, Republiki Federalnej Niemiec, Estonii oraz Polski. Podstawą dla dokonania wyboru tych państw były cztery kryteria, pozostające w związku z tematem rozprawy, tj. stopień zaawansowania prac w dziedzinie ochrony cyberprzestrzeni (Królestwo Niderlandów), doświadczenia w reagowaniu na cyberataki i łagodzeniu ich skutków (Estonia), wpływ ataków na zmiany w wymiarze instytucjona lnym (Niemcy) i wreszcie zależność między zaangażowaniem państwa w działania w wymiar ze międzynarodowym i współpracę z podmiotami międzynarodowymi a stanem prac krajowych w tym zakresie (różnice między Polską i Estonią). Ponadto, z uwagi na prezentowaną w rozprawie koncepcję, uwzględniono zakres zmian strukturalnych na gruncie wyspecjalizowanych podmiotów prawnomiędzynarodowych, do których kompetencji należy ochrona cyberprzestrzeni i zwalczanie cyberprzestępczości. 7 W celu ukazania szerszego tła problematyki ochrony cyberprzestrzeni podejście państw członkowskich zestawiono z pracami podejmowanymi na forum Unii Europejskiej. Analiza unijnych ram prawnych ochrony cyberprzestrzeni, zaprezentowana w rozdziale piątym, obejmuje akty prawne, projekty legislacyjne oraz instrumenty prawa miękkiego. Na tle zmian w prawie materialnym w rozprawie zaprezentowano również kształt architektur y instytucjonalnej w ramach przestrzeni wolności bezpieczeństwa i sprawiedliwości. Odpowiedzią na rosnące zagrożenie dla bezpieczeństwa przestrzeni cyfrowej i jej użytkowników ze strony cyberprzestępczości są zmiany w zakresie ochrony. Podjęte kluczowe zagadnienia związane z cyberprzestrzenią, tj. jej charakterystyka, zakres przedmiotowy, podstawy prawne, zagrożenia oraz poziom bezpieczeństwa, zostały w rozdziale szóstym uzupełnione wnioskami porównawczych sformułowanymi systemów ochrony w efekcie cyberprzestrzeni podjętych we analiz wskazanych oraz badań państwach członkowskich. W rozdziale szóstym, na podstawie wniosków z przeprowadzonych badań, zaprezentowano autorską koncepcję systemu ochrony cyberprzestrzeni w Unii Europejskiej w oparciu o system hybrydowy. Nowatorskie podejście polega na połączeniu trzech elementów: prawa materialnego ochrony cyberprzestrzeni, modelu PDCA (ang. Plan-DoCheck-Act) w zakresie cyberprzestrzeni (Cyber-PDCA) oraz zdecentralizowanego systemu instytucjonalnego. Przedmiotowa koncepcja systemu ochrony cyberprzestrzeni w UE została oparta na czterech wymiarach działania: strategicznym, prawnym, profilaktyki proaktywnej oraz międzynarodowym. W rezultacie zastosowania do każdego z wymiarów modelu CyberPDCA zapewniona jest cykliczna ewaluacja prowadzonych prac oraz weryfikacja wdrożonych rozwiązań. W końcowych rozważaniach uwzględniłam również trzy zagadnienia ściśle powiązane z cyberprzestrzenią, które postrzegam jako pozytywne tendencje oraz kierunki wpływające na kształtowanie prawnych aspektów ochrony cyberprzestrzeni. Zasygnalizowana koncepcja prawa Internetu i cyberprawa oraz cyberkultury prawa stanowi przedmiot szeroko prezentowanych w literaturze poglądów o wyodrębnieniu się nowej dziedziny w systemie prawa. Istotnym elementem tej koncepcji jest również wymiar międzynarodowy, dlatego uwzględniono aktualne prace i inicjatywy UE w zakresie połączenia ochrony cyberprzestr ze ni w wymiarze wewnętrznym z działaniami w ramach Wspólnej Polityki Zagranic znej i Bezpieczeństwa. Podjęcie każdego z przywołanych zagadnień pozwoliło na potwierdze nie hipotezy w oparciu nie tylko o moje poglądy, ale też wyniki przeprowadzonych badań. 8 5. Wnioski Kluczowe znaczenie dla rozpoznania mocnych i słabych stron istniejące go prawodawstwa unijnego miał etap analizy prawnej tworzenia i stosowania aktów prawnych, ich projektów oraz aktów prawa miękkiego na poziomie Unii Europejskiej. W jej efekcie pogląd, że Unia Europejska nadaje kierunek działania w zakresie ochrony cyberprzestrzeni wydaje się słuszne tylko częściowo. Dla państw, wciąż szukających i rozwijających właściwyc h rozwiązań w zakresie cyberbezpieczeństwa, pewne standardy wyznaczone na poziomie unijnym z pewnością stały się punktem odniesienia. Co więcej, wpływ organów UE i NATO, posiadających siedziby w Holandii oraz Estonii, silnie oddziałuje na kształt krajowych programów ochrony cyberprzestrzeni oraz poziom świadomości potrzeby prowadzenia międzynarodowej współpracy. Państwa tak zaawansowane w tym obszarze mogą stanowić standard dla pozostałych oraz wyznaczać tempo i kierunek prac na poziomie ogólnym, europejskim. Uwzględniając szczegółowe rozważania oraz przeprowadzone badania została potwierdzona hipoteza o potrzebie podjęcia przez Unię Europejską działań na rzecz stworzenia systemu ochrony cyberprzestrzeni w Unii Europejskiej. Przy tej okazji zbadano hipotezy szczegółowe dotyczące zapewnienia lepszej efektywności działania UE, unikania powielania tematów i dublowania się prac zaangażowanych w omawianą problematykę unijnyc h podmiotów oraz spełnienia warunku aktualności i ważności prawa w świetle nieuniknio ne go procesu cyfryzacji oraz dokonujących się zmian technologicznych. 1) Wielokrotnie powtarzany w literaturze zarzut o braku legalnej definicji terminu cyberprzestrzeń oraz związanych z nim innych pojęć nasuwa pytanie o potrzebę ich ustanowienia. Istnieje bowiem wyraźna potrzeba sformułowania przynajmniej doktrynalnej i wspólnej w UE definicji tego pojęcia. Jego znaczenie będzie punktem odniesienia oraz wyznacznikiem dla określania zakresu działania we wszystkic h wiążących się z nią zagadnieniach. W rozprawie, odchodząc od ryzykownej próby stworzenia propozycji definicji legalnej, proponuję opracowanie przez KE roboczej siatki pojęć związanych z cyberprzestrze nią wzorem wyjaśnionego w strategii bezpieczeństwa cybernetycznego UE z 2013 r. terminu „cyberbezpieczeństwo”. Znaczenie to weszło do powszechnego użycia i jest wielokrotnie przywoływane w innych dokumentach. 9 2) Wobec wątpliwości definicyjnych, należy zastanowić się nad znaczeniem rozwoju cyberprzestrzeni oraz systemów TIK dla funkcjonowania państw członkowskich, Unii Europejskiej oraz ich oddziaływaniem na kształt społeczeństwa. Problem ten należy odnieść do jednego z celów lepszego stanowienia prawa UE, zakładającego „bardziej zrozumiałe wyjaśnianie, co robimy i dlaczego”1 . Wpływ systemów TIK oraz cyfryzacji na kierunek rozwoju rynku wewnętrznego, społeczeństwa unijnego oraz samej UE, jako organizacji międzynarodowej, jest bezprecedensowy i niebagatelny. Dowodem na to są nowe formy, terminy, zjawiska, które wpływają na unijne ustawodawstwo, wyznacza jąc sposób jego funkcjonowania. Zasadności tej tezy należy upatrywać w idei społeczeństwa cyfrowego, jednolitego rynku cyfrowego, handlu elektronicznego, usług on-line, rozwoju cyfrowej administracji publicznej, czyli tych elementów, na których instytucje unijne opierają realizację głównego celu, tj. rozwoju i kształtowania pozycji Unii Europejskiej na arenie międzynarodowej. 3) Zagadnienie poziomu bezpieczeństwa oraz metody jego zapewnienia ściśle wiąże się z podziałem prac UE w obszarze ochrony cyberprzestrzeni na dwa kierunki. Jednak, czy wykreowany dwupodział na problematykę bezpieczeństwa sieci i informacji, w tym systemów TIK, oraz ochronę użytkowników cyberprzestrzeni i dokonywanych w jej ramach transakcji jest sztuczną fragmentacją, czy przeciwnie, wynika z natury przestrzeni cyfrowej? wskazuję w rozprawie na kwestię wielowątkowości i złożonośc i Wielokrotnie zagadnień, które wiążą cyberprzestrzeni. z problematyką rozwoju oraz funkcjonowa nia Samo pojęcie, czego dowiodły rozważania obejmować czynnik rozwijanego się ludzki oraz techniczny, definicyjne, musi co stanowi pierwsze źródło dalej podziału na dwa kierunki prac UE. Kontynuując, należy odnieść wspomniane dwa wymiary do dziedzin naukowych. Ochrona sieci i informacji oraz rozwój i zabezpieczenie infrastruktury systemów informacyjno-komunikacyjnyc h wiążą się z wiedzą specjalistyczną z zakresu nauk technicznych. Z kolei ochrona praw i wolności użytkowników cyberprzestrzeni oraz bezpieczne transakcje w Internecie, pozostając w domenie prawa, należą do wymiaru sprawiedliwości i spraw wewnętrznych. Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społeczneg o i Komitetu Regionów – Program UE – Lepsze wyniki dzięki lepszemu stanowieniu prawa, KOM(2015) 215 wersja ostateczna. 1 10 Trudność pojawia się w osiągnięciu kompleksowego, ujednolico ne go i usystematyzowanego podejścia do ochrony przestrzeni cyfrowej i bezpieczeństwa w jej ramach na poziomie państw członkowskich oraz szerszej w skali UE. Problem ten należy odnieść do kolejnych dwóch celów komunikatu Komisji w sprawie lepszego stanowienia prawa, tj. dążenia, aby środki prawne były oparte na dowodach, dobrze zaprojektowane i by przynosiły wymierne i trwałe korzyści dla obywateli, przedsiębiorstw i całego społeczeństwa. W obszarze ochrony cyberprzestrzeni, w ramach przyznanych Unii kompetencji, powinna ona wykorzystywać je do zbliżania ustawodawstw (art. 114 TFUE) oraz wyznaczania norm minimalnych (art. 83 TFUE). Wykorzystując istniejące podstawy działania może istotnie wpływać na wypracowywanie standardów w omawianym zakresie, które mogą przełożyć się na zacieranie rozbieżności w podejściu państw członkowskich oraz budowę wspólnego systemu ochrony cyberprzestrzeni w UE. W rezultacie przyczynia się do ujednoliconego minimalnego poziomu, wyznaczo ne go na poziomie unijnym. 4) Funkcjonuje zintegrowana i zdecentralizowana architektura instytucjona lna dedykowana ochronie cyberprzestrzeni, istnieją również podstawy prawne działa nia w tym zakresie oraz akty prawne i akty typu soft law. Opracowane są również priorytety oraz cele strategiczne w obszarze cyberprzestrzeni. Dlaczego zatem występują problemy w osiąganiu spójnego podejścia Unii Europejskiej w tym zakresie? Mowa tu o arystotelesowskim wyborze złotego środka. W jaki bowiem sposób połączyć zapewnienie poufności i wiarygodności danych oraz prawa do prywatności obywateli, ochronę informacji i użytkowników cyberprzestrzeni z bezpieczną infrastruk turą informatyczną. Jakie działania w tym zakresie powinny podjąć rządy krajowe, kto w zasadzie powinien podjąć te działania? Wreszcie jak zorganizować system ochrony cyberprzestrzeni, danych i informacji oraz użytkowników cyberprzestrzeni? Analiza dotychczasowych wysiłków UE związanych z cyberprzestrzenią w wymiar ze prawnym, politycznym oraz instytucjonalnym wskazuje, że najczęściej przywoływa ne są inicjatywy w formie aktów typu soft law o charakterze strategic znym i przekrojowym, czego przykładem jest Europejska Agenda Cyfrowa z 2010 r. oraz strategia bezpieczeństwa cybernetycznego UE z 2013 r. Jednak żaden z tych dokumentów nie rozwiązuje istniejących problemów. Można bowiem zidentyfiko wać ich słabe punkty polegające na braku zaprezentowania spójnej koncepcji działania na 11 rzecz dążenia do wyczerpania problematyki poprzez wielowątkowość i nadmierną szczegółowość. Kierując się wspominanymi wytycznymi z komunikatu Komisji w zakresie lepszego stanowienia prawa w rozprawie zaproponowałam koncepcję systemu ochrony cyberprzestrzeni UE. Nie jest to lista celów politycznych, a zestawienie takich działań związanych z ochroną cyberprzestrzeni, które stanowią kompleksową metodę osiągania ujednoliconego poziomu jej ochrony. Proponowana koncepcja systemu, obejmując cztery kluczowe wymiary, pozwala na uwzględnienie wszystkich elementów związanych z ochroną przestrzeni cyfrowej, w tym uwarunkowania techniczne i prawne oraz, jak pokazano w rozprawie, element szczególnie istotny, tj. architekturę instytucjonalną z wyznaczeniem zaangażowanych podmiotów oraz jasno określonymi zakresami kompetencyjnymi. To z kolei pozwala uniknąć powielania prac oraz chaosu działania. Znając priorytety, cele strategiczne, układ instytucjonalny oraz właściwość merytoryczną poszczególnych organów będzie można podjąć proaktywne działania na rzecz szkolenia, edukacji oraz ćwiczeń, jako kluczowych czynników w ochronie cyberprzestrzeni. Wspólne prace w wymiarze strategicznym, prawnym oraz profilaktycznym będą miały swój kontekst międzynarodowy. Nie jest to sztuczne narzucanie kierunku działania, a jedynie konsekwencja charakteru cyberprzestrze ni. Ponadgraniczność, aterytorialność oraz mobilność to te właściwości przestrzeni cyfrowej, które zobowiązują do współpracy w skali globalnej. Proponowana koncepcja systemu ochrony cyberprzestrzeni, będąc aktem soft law, z uwagi na kompleksowość, strategiczny charakter, komplementarność mogłaby mieć formę np. zielonej księgi. Komisja taką formę aktu w sprawach związanyc h z cyberprzestrzenią już z powodzeniem zastosowała m.in. odnośnie do społeczeństwa informacyjnego, handlu elektronicznego, czy ochrony infrastruktury krytycznej. Zielona księga, będąc aktem soft law, doprecyzowałaby daną problematykę w sferze wewnętrznej. Ponadto, jako komunikat Komisji, zawierałaby ogólne założenia odnośnie do uporządkowania i zorganizowania ochrony cyberprzestrzeni na poziomie unijnym, wpływając na rozwój oraz poprawę istniejących mechanizmów również w szerszym wymiarze bezpieczeństwa wewnętrznego UE. 5) Założenie o kompleksowości i wieloaspektowości mogą budzić obawy dotyczące efektywności i skuteczności systemu ochrony cyberprzestrzeni w UE. Innymi słowy, jak sprawić, by proponowane rozwiązanie nie pozostało ideą o wyłącznie teoretycznym 12 znaczeniu. Jak zaangażować instytucje i agencje unijne do wdrażania założeń proponowanego systemu? W tym kontekście należy nawiązać do kolejnego celu, wspominanego już, komunikatu Komisji w sprawie lepszego stanowienia prawa, zgodnie z którym strategie polityczne UE powinny również podlegać regular ne mu przeglądowi. Realizując ten cel w proponowanym, autorskim systemie ochrony cyberprzestrzeni wprowadziłam system Cyber-PDCA, gwarantujący tzw. cykl życia podejmowanych w ramach przedmiotowego systemu inicjatyw związanyc h z przestrzenią cyfrową. Kluczowa w tym zakresie będzie faza sprawdzania (ang. check), która zapewni systematyczne włączanie do każdego nowego aktu prawnego przepisów umożliwiających jego późniejsze monitorowanie i ocenę. 6) Pojawia się także wątpliwość co do tego, czy zaprojektowany system ochrony cyberprzestrzeni pozostaje właściwy wyłącznie dla Unii Europejskiej, czy niesie on wartość aplikacyjną również dla państw członkowskich. Po raz kolejny, podkreślając znaczenie przedmiotowego systemu należy odwołać się do treści komunikatu Komisji w sprawie lepszego stanowienia prawa. Komisja proponuje w nim program sprawności i wydajności regulacyjnej. Wskazane przez Komisję cechy dokładnie wpisują się w założenia celowości, efektywności oraz holistycznego ujęcia proponowanego systemu ochrony cyberprzestrzeni. Ponadto każdy z czterech wymiarów przedmiotowego systemu, tj. strategiczny, prawny, profilaktyki proaktywnej oraz międzynarodowy, będzie spełniał każde z tych cech indywidualnie, powodując zaangażowanie w ich osiąganie właściwych podmiotów. Ochrona cyberprzestrzeni nie może pozostać wyłącznie zadaniem realizowanym na poziomie unijnym. Poszczególne wymiary oraz wyznaczone działania muszą mieć swój kontekst krajowy. W rezultacie system ochrony cyberprzestrzeni, w formie zielo nej księgi, pozostaje propozycją de lege ferenda niniejszej rozprawy. 13