Autoreferat - Instytut Prawa Międzynarodowego

UNIWERSYTET WARSZAWSKI
Wydział Prawa i Administracji
Instytut Prawa Międzynarodowego
MGR ANNA KAŃCIAK
Ochrona cyberprzestrzeni w świetle prawa Unii Europejskiej
autoreferat rozprawy doktorskiej
Promotor:
prof. UW dr. hab. Robert Grzeszczak
Recenzenci:
prof. PAN dr hab. Monika Szwarc
prof. UWr dr hab. Dariusz Adamski
Warszawa, wrzesień 2016 r.
1. Przedmiot i cel rozprawy
Przedmiotem
rozprawy
jest ochrona cyberprzestrzeni
w świetle
prawa Unii
Europejskiej. Jej analiza została przeprowadzona w dwóch zasadniczych perspektywach. Osią
rozważań w pierwszej i szerszej perspektywie jest realizacja przez Unię Europejską zadań
w wymiarze governance w przestrzeni wolności bezpieczeństwa i sprawiedliwości (PWBiS),
z uwzględnieniem przestrzeni cyfrowej, jako jej nowego elementu. Druga zaś, węższa,
związana jest z zagrożeniami i potrzebą ochrony elementów tworzących cyberprzestrzeń oraz
projektem systemowego przeciwdziałania tym zagrożeniom. W efekcie rozpoczęcie rozważań
od zagadnień
wprowadzających
oraz teoretycznych,
przechodząc następnie do części
badawczej i kończąc na części wnioskowo-koncepcyjnej, pozwoliło na osiągnięcie celu
podjętych badań, którym jest sformułowanie propozycji systemu ochrony cyberprzestrzeni na
gruncie prawa UE.
Wiele argumentów
przemawia
za aktualnością
i wagą problematyki ochrony
cyberprzestrzeni, począwszy od cyberataków. W literaturze najczęściej są przywoływa ne
cyberataki na Estonię z 2007 r., uznawane powszechnie za jedne z najpoważniejszych ataków
komputerowych na konkretne państwo w historii. Jednak już rok później, podczas tzw. „wojny
sierpniowej”, cyberatak został częściowo powiązany z działaniami militarnymi, kiedy podczas
krótkotrwałej wojny na granicy rosyjsko-gruzińskiej obiektem ataków stały się gruzińsk ie
strony internetowe. Z kolei w 2010 r. robak komputerowy – Stuxnet – został użyty do
szpiegowania i ataków na systemy przemysłowe firmy Siemens, wykorzystywane między
innymi w elektrowniach atomowych. Wówczas zainfekowane zostały systemy w kilku krajach,
ale obiektem największego ataku był Iran, gdzie Stuxnet zainstalował się w 16 tysiącach
komputerów. Skalę problemu oddają dane dotyczące liczby cyberataków na rządowe sieci
w Stanach Zjednoczonych, która wzrasta w rekordowym tempie 1300 procent w ciągu 10 lat.
Niepokojące rekordy pod względem skali odnotowywane są również w Polsce, kiedy
w kwietniu 2016 r. klienci ponad dwustu banków zostali zaatakowani przez złośliwe
oprogramowanie GozNym, co to było pierwszym cyberatakiem na taką skalę.
Podjęta problematyka, szczególnie wobec przytłaczającej ilości informacji powszechnie
dostępnych w środkach masowego przekazu oraz bogatej literatury poświęconej podjętemu
tematowi, tak powszechna w życiu codziennym i w świadomości jednostki, nie jest jednak
łatwą w analizie. Dzieje się tak z kilku przyczyn – a zwłaszcza nierzetelności informac ji
i danych. Innymi słowy kwantytatywność nie spotyka się z kwalitatywnością informac ji
2
i materiałów.
Każde kolejne
cyberprzestrzeni,
definicji
zagadnienie
terminów
dotyczące
z nią
podstawowych
związanych,
kwestii,
zagrożeń,
tj. istoty
umiejscowie nia
w dziedzinach prawa, a przede wszystkim podstaw prawnych ochrony przestrzeni cyfrowej
okazują się być niepełne, chaotycznie umiejscawiane, a często błędnie charakteryzowane. Ilość
zagadnień, które obejmuje cyberprzestrzeń powoduje dużą trudność w przypisaniu podstaw
prawnych do konkretnego tematu. Dodatkowo jedno zagadnienie nierzadko bywa przedmiote m
kilku wytycznych strategicznych, charakterystycznych dla PWBiS, które z uwagi na poziom
ogólności stają się bardziej prezentacją rozwiązań idealnych niż konkretnych działań
określonych na poziomie politycznym UE.
Problematyka
cyberprzestrzeni,
co
zostało
już
podkreślone,
złożona
jest
i wielowątkowa, a jej zakres w zasadzie nie został w pełni rozpoznany. Odstąpiłam jednak
w rozprawie od deskryptywnego i wtórnego zaprezentowania wszystkich pojęć związanyc h
z cyberprzestrzenią oraz wyliczania proponowanych definicji na rzecz przybliżenia trudności
terminologicznych, które pojawiają się w aspekcie prawnym poruszanej problematyki.
Wieloaspektowość
oraz transgraniczność
cechujące
cyberprzestrzeń
nabierają
szczególnego znaczenia wobec najczęściej pojawiających się pytań: jak zapewnić poufność
i wiarygodność danych oraz prywatność obywateli; jak chronić informacje i użytkowników
cyberprzestrzeni; jakie inicjatywy w tym zakresie powinny podjąć rządy; kto w zasadzie
powinien podjąć te działania i jak zorganizować system ochrony cyberprzestrzeni odpowiedni
na poziomie unijnym oraz krajowym, zapewniając ochronę infrastrukturze informatycz nej,
danym i informacjom oraz użytkownikom cyberprzestrzeni.
Udzielenie odpowiedzi na te pytania wymaga połączenia rozważań teoretycznych oraz
doświadczeń praktycznych. Oznacza to potrzebę zestawienia wiedzy na temat charakterystyk i
cyberprzestrzeni i jej elementów, aktualnego stanu prawnego z działaniami podejmowanymi
przez instytucje UE oraz państwa członkowskie w zakresie ochrony cyberprzestrze ni.
Połączenie tych aspektów pozwala na dokonanie oceny ochrony cyberprzestrzeni w świetle
prawa Unii Europejskiej przy jednoczesnej identyfikacji słabych i mocnych jej stron.
Celem rozprawy jest przybliżenie i analiza aktualnych podstaw prawnych ochrony
elementów cyberprzestrzeni w prawie UE, wskazanie wadliwych rozwiązań oraz braków w tej
ochronie i zaprezentowanie sposobów ich poprawy, zgodnie z przyjętą w rozprawie
metodologią. Z kolei proponowane rozwiązania naprawcze stanowią nowy, autorski pomysł,
który będzie weryfikacją przyjętej hipotezy z odwołaniem się do bieżących prac UE na tle
aktualnych założeń lepszego stanowienia prawa.
3
2. Metody badawcze
W rozprawie wykorzystano dwie prawnoporównawcze metody badawcze, tj.: metodę
historyczno-opisową oraz formalno-dogmatyczną. Użycie pierwszej z nich może wzbudzać
pewne wątpliwości z uwagi na wciąż przypisywany problematyce cyberprzestrzeni atrybut
nowości i innowacyjności, a przez to ryzyko niepojawienia się znaczących postępów
w systemie prawa w krótkim czasie. Jednak okres 25 lat, który minął już od momentu
rozpoczęcia prac w Europie na rzecz budowy ram prawnych przestrzeni cyfrowej, jest
wystarczający na zobrazowanie zmian w prawie UE dotyczących przestrzeni cyfrowej.
Z kolei metoda formalno-dogmatyczna, oparta na analizie relewantnych źródeł prawa,
wzbogaca jakościowo rozważania o charakterze opisowym, tworzy możliwość formułowa nia
założeń niesprzecznego systemu prawa. Oczywiście istnieje ścisła zależność między obiema
metodami. Prezentowanie historii rozwoju pewnych elementów ochrony cyberprzestrzeni nie
jest możliwe bez wyjaśnienia relacji pojęciowych na różnych etapach rozwoju prawa. Z kolei
przywoływanie dogmatyki bez kontekstu historycznego prowadzi do niepełnego obrazu istoty
i otoczenia prawnego. Tym samym wybrana metoda najlepiej służy weryfikacji hipotezy,
ponieważ pozwala na prawidłowe zrozumienie relacji między poszczególnymi etapami
rozwoju regulacji prawnych związanych z ochroną elementów cyberprzestrzeni.
Badania naukowe w rozprawie zostały przedstawione w oparciu o metodę indukcyjną
oraz układ trójstopniowy. Rozpoczęto je odpowiednio od zaprezentowania szczegóło wyc h
zagadnień teoretycznych związanych z ochroną cyberprzestrzeni. Pozwoliło to w kolejnych
etapach na przejście do wymiaru praktycznego, by na końcu wywodu dokonać empiryc znej
weryfikacji
hipotezy
i zaprezentować
ogólne
wnioski
z przeprowadzonych
badań.
Kilkuetapowy proces badawczy o charakterze eksploracyjnym pozwolił na rozpoznanie
istniejącego stanu wiedzy w zakresie teorii i praktyki odnośnie do ochrony cyberprzestr ze ni
w wymiarze unijnym oraz na poziomie państw członkowskich.
3. Tezy badawcze
Podstawowe założenie rozprawy doktorskiej stanowi, iż istnieje wyraźna i pilna
potrzeba podjęcia przez Unię Europejską działań na rzecz stworzenia spójnego systemu
ochrony
cyberprzestrzeni.
Celem tego systemu
miałoby
być zapewnienie
większej
efektywności działań UE, unikanie powielania agend i dublowania prac unijnych podmiotów,
zaangażowanych w relewantną problematykę. Ponadto proponowany system pozwoliłby na
4
spełnienie warunku aktualności i ważności prawa w świetle nieuchronnego procesu cyfryzac ji
oraz dokonujących się zmian technologicznych. Jednocześnie słowo „system” kierunkuje na
wymiar strategiczny podejmowanego tematu.
Wraz z wyborem problemu badawczego, poświęconego ochronie cyberprzestrze ni
w prawie UE, postawiono ogólne i szczegółowe
pytania badawcze oraz tezy, które
wykorzystano w próbie wyjaśnienia pojawiających się wątpliwości. Rozpoczynają je kwestie
rudymentarne związane z problemem terminologicznym. Podnoszony w literaturze zarzut
braku legalnej
Ta wątpliwość
definicji
cyberprzestrzeni
z kolei dotyczy
również
nasuwa
pytanie
pozostałych
o potrzebę jej tworzenia.
terminów
z nią
związanyc h,
tj. cyberbezpieczeństwa i cyberprzestępczości. Wobec wątpliwości definicyjnych, zastanawia
znaczenie rozwoju cyberprzestrzeni oraz systemów technologii informacyjno-komunikacyjnej
(TIK) dla funkcjonowania państw członkowskich i Unii Europejskiej oraz ich oddziaływa nie
na kształt społeczeństwa i gospodarek. Wiąże się to także z tzw. strategią jednolitego rynku
cyfrowego (ang. digital single market), tj. kompleksowymi działaniami legislacyjnymi w UE
na rzecz utworzenia przestrzeni, w której zapewniony jest swobodny przepływ towarów, osób,
usług i kapitału, a obywatele i przedsiębiorstwa mogą bez przeszkód i na zasadach uczciwej
konkurencji uzyskać dostęp do usług online lub je świadczyć.
Problematyka ta została zaprezentowana w rozprawie na tle dwóch kierunków działań
UE związanych z ochroną cyberprzestrzeni, tj. bezpieczeństwa sieci i informacji w związku
z rozwojem systemów technologii informacyjno-komunikacyjnej oraz ochrony użytkowników
i ich aktywności w cyberprzestrzeni. Analiza wskazanych kierunków została przedstawiona
w rozprawie z perspektywy pojawiających się problemów z tworzeniem podstaw prawnych,
określaniem
i podziałem
zakresów
kompetencyjnych
pomiędzy
UE
i
państwami
członkowskimi oraz unijnym procesem legislacyjnym. W efekcie należało zastanowić się czy
wykreowana dwukierunkowość jest sztucznym podziałem, czy przeciwnie, wynika z natury
przestrzeni cyfrowej. Kolejna wątpliwość pojawiła się w związku z potrzebą zapewnie nia
wspólnych standardów ochrony przestrzeni cyfrowej i bezpieczeństwa w jej ramach na
poziomie państw członkowskich. Tym samym stawianymi pytaniami są zwłaszcza: czy
potrzebne jest bardziej zintegrowane podejście Unii Europejskiej w tym zakresie; w jakiej
formie powinno być ono zaprezentowane; czy należy podjąć prace nad budową wspólnego
systemu ochrony cyberprzestrzeni w UE i czy mogą one przyczynić się do rzeczywiste go
usunięcia rozbieżności w podejściu państw członkowskich?
5
Charakter pytań i tez badawczych wiąże się ze stanem wiedzy i prowadzonymi
badaniami – zagranicznymi i krajowymi – oraz z wyzwaniami w zakresie cyberprzestrzeni i jej
ochrony wobec postępu technologicznego. Zmiany w otoczeniu społeczno-gospodarc zym,
będące skutkiem cyfryzacji, stawiają nie mniej ważne pytanie o aplikowalność aktualnego
systemu
prawnego
oraz nieadekwatności
przepisów
prawa pochodnego
do nowych
i nieznanych twórcom tego prawa stanów faktycznych. Mając na uwadze, że prawo jest
dynamiczne, ale rozwija się ono wolniej niż stosunki społeczne i gospodarcze, nie dziwi to, że
tempo wprowadzania zmian w prawie UE nie odpowiada rozwoju przestrzeni cyfrowej. Czy
zatem istnieje możliwość wprowadzenia takiego mechanizmu, który zapewni jednoczesną
weryfikację
i modyfikację
rozwiązań prawnych dokonywanych paralelnie do analizy
kierunków i tendencji rozwoju systemów TIK?
Podstawowe pytania, w związku z hipotezą niniejszej rozprawy są następujące: czy
w Unii
Europejskiej
należy
podjąć prace na rzecz stworzenia
systemu
ochrony
cyberprzestrzeni, czy powinny one mieć charakter ustawodawczy, czy może powinny pozostać
na poziomie aktów prawa miękkiego, jakie elementy powinny zostać nimi objęte i w końcu czy
założenia będą odpowiednie wyłącznie dla UE, czy będą miały zastosowanie również w skali
krajowej.
Odpowiedzią na postawione pytania są zaprezentowane na końcowym etapie procesu
badawczego założenia systemu ochrony cyberprzestrzeni w Unii Europejskiej. Oznacza to
przyjęcie tym samym hipotezy szczegółowej, zgodnie z którą można wprowadzić taki system,
który wypełni istniejące luki i będzie stanowił podstawę do odparcia zarzutów dotyczących
wielowątkowości działań UE oraz towarzyszącego im chaosu kompetencyjnego.
4. Struktura rozprawy
Tak zakreślone podstawowe cele badawcze i założone metody ich prowadzenia
zdeterminowały formę i strukturę pracy. Niniejsza rozprawa składa się z sześciu rozdzia łów,
tworzących wywód, jak opisałam już, poświęcony analizie aktualnej ochrony cyberprzestr ze ni
w świetle prawa Unii Europejskiej oraz potrzebom i możliwościom jej zmiany. Podjęcie tej
problematyki,
łączącej tak szerokie spektrum zagadnień,
wiąże się z koniecznoś c ią
wyselekcjonowania najistotniejszych i priorytetowych elementów problemu i ich czytelne go
zaprezentowania. Stąd przyjęto w niniejszej rozprawie układ trójstopniowy.
Pierwsza część, obejmująca trzy pierwsze rozdziały, została poświęcona wyjaśnieniu
podstawowych pojęć związanych z cyberprzestrzenią, zaprezentowaniu tendencji będących
6
wynikiem
procesu cyfryzacji
oraz pojawiających
się zagrożeń
dla bezpieczeństwa
w przestrzeni cyfrowej. Drugi etap, do którego należy zaliczyć rozdział czwarty i piąty, ma
charakter badawczy. Trzeci, zasadniczy etap stanowi rozdział szósty. Zostały w nim
zaprezentowane rezultaty analiz oraz wyniki przeprowadzonych badań, których celem jest
sformułowanie koncepcji systemu ochrony cyberprzestrzeni w świetle prawa UE.
W rozdziale pierwszym przybliżono rozwój cyfrowego rynku wewnętrznego, ze
szczególnym uwzględnieniem znaczenia handlu elektronicznego
i usług społeczeństwa
informacyjnego oraz istotnych zmian w PWBiS.
W rozdziale drugim zaprezentowano źródła i rodzaje zagrożeń dla bezpieczeństwa
poszczególnych elementów cyberprzestrzeni. Intensywny rozwój cyberprzestępczości wiąże
się z problematyką jurysdykcji w cyberprzestrzeni, która pozostaje jednym z najistotniejs zyc h
wyzwań dla wymiarów sprawiedliwości poszczególnych państw członkowskich oraz ich
organów ścigania. Stąd w rozprawie uwzględniono prezentowane w literaturze przedmiotu
poglądy oraz koncepcje jej zorganizowania.
Proces cyfryzacji i wzrost wykorzystania przestrzeni cyfrowej na rzecz poprawy
kondycji europejskiej gospodarki oraz standardu życia obywateli UE wiążą się z ideą
społeczeństwa informacyjnego oraz budową europejskiej przestrzeni informacyjnej. W trzecim
rozdziale
rozprawy została zaprezentowana
problematyka
cyberbezpieczeństwa
na tle
bezpieczeństwa wewnętrznego UE oraz rozważania na temat umiejscowienia cyberprzestr ze ni
w ramach PWBiS.
W rozdziale czwartym zostały zbadane wybrane elementy systemów prawnych czterech
państw członkowskich, tj. Królestwa Niderlandów, Republiki Federalnej Niemiec, Estonii oraz
Polski. Podstawą dla dokonania wyboru tych państw były cztery kryteria, pozostające
w związku z tematem rozprawy, tj. stopień zaawansowania prac w dziedzinie ochrony
cyberprzestrzeni (Królestwo Niderlandów),
doświadczenia w reagowaniu na cyberataki
i łagodzeniu ich skutków (Estonia), wpływ ataków na zmiany w wymiarze instytucjona lnym
(Niemcy) i wreszcie zależność między zaangażowaniem państwa w działania w wymiar ze
międzynarodowym i współpracę z podmiotami międzynarodowymi a stanem prac krajowych
w tym zakresie (różnice między Polską i Estonią). Ponadto, z uwagi na prezentowaną
w rozprawie
koncepcję,
uwzględniono
zakres
zmian
strukturalnych
na
gruncie
wyspecjalizowanych podmiotów prawnomiędzynarodowych, do których kompetencji należy
ochrona cyberprzestrzeni i zwalczanie cyberprzestępczości.
7
W celu ukazania szerszego tła problematyki ochrony cyberprzestrzeni podejście państw
członkowskich zestawiono z pracami podejmowanymi na forum Unii Europejskiej. Analiza
unijnych ram prawnych ochrony cyberprzestrzeni, zaprezentowana w rozdziale piątym,
obejmuje akty prawne, projekty legislacyjne oraz instrumenty prawa miękkiego. Na tle zmian
w prawie
materialnym
w rozprawie
zaprezentowano
również
kształt
architektur y
instytucjonalnej w ramach przestrzeni wolności bezpieczeństwa i sprawiedliwości.
Odpowiedzią na rosnące zagrożenie dla bezpieczeństwa przestrzeni cyfrowej i jej
użytkowników ze strony cyberprzestępczości są zmiany w zakresie ochrony. Podjęte kluczowe
zagadnienia związane z cyberprzestrzenią, tj. jej charakterystyka, zakres przedmiotowy,
podstawy prawne, zagrożenia oraz poziom bezpieczeństwa, zostały w rozdziale szóstym
uzupełnione
wnioskami
porównawczych
sformułowanymi
systemów
ochrony
w efekcie
cyberprzestrzeni
podjętych
we
analiz
wskazanych
oraz badań
państwach
członkowskich.
W rozdziale
szóstym,
na podstawie wniosków
z przeprowadzonych
badań,
zaprezentowano autorską koncepcję systemu ochrony cyberprzestrzeni w Unii Europejskiej
w oparciu o system hybrydowy.
Nowatorskie podejście polega na połączeniu
trzech
elementów: prawa materialnego ochrony cyberprzestrzeni, modelu PDCA (ang. Plan-DoCheck-Act) w zakresie cyberprzestrzeni (Cyber-PDCA) oraz zdecentralizowanego systemu
instytucjonalnego. Przedmiotowa koncepcja systemu ochrony cyberprzestrzeni w UE została
oparta na czterech wymiarach działania: strategicznym, prawnym, profilaktyki proaktywnej
oraz międzynarodowym. W rezultacie zastosowania do każdego z wymiarów modelu CyberPDCA zapewniona jest cykliczna ewaluacja prowadzonych prac oraz weryfikacja wdrożonych
rozwiązań.
W końcowych rozważaniach uwzględniłam również trzy zagadnienia ściśle powiązane
z cyberprzestrzenią, które postrzegam jako pozytywne tendencje oraz kierunki wpływające na
kształtowanie prawnych aspektów ochrony cyberprzestrzeni. Zasygnalizowana koncepcja
prawa Internetu
i cyberprawa oraz cyberkultury
prawa stanowi przedmiot
szeroko
prezentowanych w literaturze poglądów o wyodrębnieniu się nowej dziedziny w systemie
prawa. Istotnym elementem tej koncepcji jest również wymiar międzynarodowy, dlatego
uwzględniono aktualne prace i inicjatywy UE w zakresie połączenia ochrony cyberprzestr ze ni
w wymiarze
wewnętrznym z działaniami w ramach Wspólnej Polityki Zagranic znej
i Bezpieczeństwa. Podjęcie każdego z przywołanych zagadnień pozwoliło na potwierdze nie
hipotezy w oparciu nie tylko o moje poglądy, ale też wyniki przeprowadzonych badań.
8
5. Wnioski
Kluczowe
znaczenie
dla rozpoznania
mocnych
i słabych
stron istniejące go
prawodawstwa unijnego miał etap analizy prawnej tworzenia i stosowania aktów prawnych, ich
projektów oraz aktów prawa miękkiego na poziomie Unii Europejskiej. W jej efekcie pogląd,
że Unia Europejska nadaje kierunek działania w zakresie ochrony cyberprzestrzeni wydaje się
słuszne
tylko częściowo. Dla państw, wciąż szukających
i rozwijających
właściwyc h
rozwiązań w zakresie cyberbezpieczeństwa, pewne standardy wyznaczone na poziomie
unijnym z pewnością stały się punktem odniesienia. Co więcej, wpływ organów UE i NATO,
posiadających siedziby w Holandii oraz Estonii, silnie oddziałuje na kształt krajowych
programów ochrony cyberprzestrzeni oraz poziom świadomości potrzeby prowadzenia
międzynarodowej współpracy. Państwa tak zaawansowane w tym obszarze mogą stanowić
standard dla pozostałych oraz wyznaczać tempo i kierunek prac na poziomie ogólnym,
europejskim.
Uwzględniając
szczegółowe
rozważania
oraz przeprowadzone
badania
została
potwierdzona hipoteza o potrzebie podjęcia przez Unię Europejską działań na rzecz stworzenia
systemu ochrony cyberprzestrzeni w Unii Europejskiej. Przy tej okazji zbadano hipotezy
szczegółowe dotyczące zapewnienia lepszej efektywności działania UE, unikania powielania
tematów i dublowania się prac zaangażowanych w omawianą problematykę unijnyc h
podmiotów oraz spełnienia warunku aktualności i ważności prawa w świetle nieuniknio ne go
procesu cyfryzacji oraz dokonujących się zmian technologicznych.
1) Wielokrotnie powtarzany w literaturze zarzut o braku legalnej definicji terminu
cyberprzestrzeń oraz związanych z nim innych pojęć nasuwa pytanie o potrzebę ich
ustanowienia.
Istnieje
bowiem wyraźna
potrzeba sformułowania
przynajmniej
doktrynalnej i wspólnej w UE definicji tego pojęcia. Jego znaczenie będzie punktem
odniesienia oraz wyznacznikiem dla określania zakresu działania we wszystkic h
wiążących się z nią zagadnieniach.
W rozprawie, odchodząc od ryzykownej próby stworzenia propozycji definicji legalnej,
proponuję opracowanie przez KE roboczej siatki pojęć związanych z cyberprzestrze nią
wzorem wyjaśnionego w strategii bezpieczeństwa cybernetycznego UE z 2013 r.
terminu „cyberbezpieczeństwo”. Znaczenie to weszło do powszechnego użycia i jest
wielokrotnie przywoływane w innych dokumentach.
9
2) Wobec wątpliwości definicyjnych, należy zastanowić się nad znaczeniem rozwoju
cyberprzestrzeni oraz systemów TIK dla funkcjonowania państw członkowskich, Unii
Europejskiej oraz ich oddziaływaniem na kształt społeczeństwa. Problem ten należy
odnieść do jednego z celów lepszego stanowienia prawa UE, zakładającego „bardziej
zrozumiałe wyjaśnianie, co robimy i dlaczego”1 . Wpływ systemów TIK oraz cyfryzacji
na kierunek rozwoju rynku wewnętrznego, społeczeństwa unijnego oraz samej UE, jako
organizacji międzynarodowej, jest bezprecedensowy i niebagatelny. Dowodem na to są
nowe formy, terminy, zjawiska, które wpływają na unijne ustawodawstwo, wyznacza jąc
sposób jego funkcjonowania.
Zasadności tej tezy należy
upatrywać
w idei
społeczeństwa cyfrowego, jednolitego rynku cyfrowego, handlu elektronicznego, usług
on-line, rozwoju cyfrowej administracji publicznej, czyli tych elementów, na których
instytucje unijne opierają realizację głównego celu, tj. rozwoju i kształtowania pozycji
Unii Europejskiej na arenie międzynarodowej.
3) Zagadnienie poziomu bezpieczeństwa oraz metody jego zapewnienia ściśle wiąże się
z podziałem prac UE w obszarze ochrony cyberprzestrzeni na dwa kierunki. Jednak, czy
wykreowany dwupodział na problematykę bezpieczeństwa sieci i informacji, w tym
systemów TIK, oraz ochronę użytkowników cyberprzestrzeni i dokonywanych w jej
ramach transakcji jest sztuczną fragmentacją, czy przeciwnie, wynika z natury
przestrzeni cyfrowej?
wskazuję w rozprawie na kwestię wielowątkowości i złożonośc i
Wielokrotnie
zagadnień,
które wiążą
cyberprzestrzeni.
z problematyką
rozwoju
oraz funkcjonowa nia
Samo pojęcie, czego dowiodły rozważania
obejmować czynnik
rozwijanego
się
ludzki oraz techniczny,
definicyjne,
musi
co stanowi pierwsze źródło dalej
podziału na dwa kierunki prac UE. Kontynuując,
należy odnieść
wspomniane dwa wymiary do dziedzin naukowych. Ochrona sieci i informacji oraz
rozwój i zabezpieczenie infrastruktury systemów informacyjno-komunikacyjnyc h
wiążą się z wiedzą specjalistyczną z zakresu nauk technicznych. Z kolei ochrona praw
i wolności użytkowników cyberprzestrzeni oraz bezpieczne transakcje w Internecie,
pozostając w domenie
prawa, należą
do wymiaru
sprawiedliwości
i spraw
wewnętrznych.
Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społeczneg o
i Komitetu Regionów – Program UE – Lepsze wyniki dzięki lepszemu stanowieniu prawa, KOM(2015) 215 wersja
ostateczna.
1
10
Trudność
pojawia
się
w
osiągnięciu
kompleksowego,
ujednolico ne go
i usystematyzowanego podejścia do ochrony przestrzeni cyfrowej i bezpieczeństwa
w jej ramach na poziomie państw członkowskich oraz szerszej w skali UE. Problem ten
należy odnieść do kolejnych dwóch celów komunikatu Komisji w sprawie lepszego
stanowienia prawa, tj. dążenia, aby środki prawne były oparte na dowodach, dobrze
zaprojektowane
i by przynosiły
wymierne
i trwałe korzyści dla obywateli,
przedsiębiorstw i całego społeczeństwa.
W obszarze ochrony cyberprzestrzeni, w ramach przyznanych Unii kompetencji,
powinna ona wykorzystywać je do zbliżania ustawodawstw (art. 114 TFUE) oraz
wyznaczania norm minimalnych (art. 83 TFUE). Wykorzystując istniejące podstawy
działania może istotnie wpływać na wypracowywanie standardów w omawianym
zakresie, które mogą przełożyć się na zacieranie rozbieżności w podejściu państw
członkowskich oraz budowę wspólnego systemu ochrony cyberprzestrzeni w UE.
W rezultacie przyczynia się do ujednoliconego minimalnego poziomu, wyznaczo ne go
na poziomie unijnym.
4) Funkcjonuje
zintegrowana
i
zdecentralizowana
architektura
instytucjona lna
dedykowana ochronie cyberprzestrzeni, istnieją również podstawy prawne działa nia
w tym zakresie oraz akty prawne i akty typu soft law. Opracowane są również priorytety
oraz cele strategiczne w obszarze cyberprzestrzeni.
Dlaczego zatem występują
problemy w osiąganiu spójnego podejścia Unii Europejskiej w tym zakresie? Mowa tu
o arystotelesowskim wyborze złotego środka. W jaki bowiem sposób połączyć
zapewnienie poufności i wiarygodności danych oraz prawa do prywatności obywateli,
ochronę informacji i użytkowników cyberprzestrzeni z bezpieczną infrastruk turą
informatyczną. Jakie działania w tym zakresie powinny podjąć rządy krajowe, kto
w zasadzie powinien podjąć te działania? Wreszcie jak zorganizować system ochrony
cyberprzestrzeni, danych i informacji oraz użytkowników cyberprzestrzeni?
Analiza dotychczasowych wysiłków UE związanych z cyberprzestrzenią w wymiar ze
prawnym, politycznym oraz instytucjonalnym wskazuje, że najczęściej przywoływa ne
są inicjatywy
w formie
aktów typu soft law o charakterze
strategic znym
i przekrojowym, czego przykładem jest Europejska Agenda Cyfrowa z 2010 r. oraz
strategia bezpieczeństwa cybernetycznego UE z 2013 r. Jednak żaden z tych
dokumentów nie rozwiązuje istniejących problemów. Można bowiem zidentyfiko wać
ich słabe punkty polegające na braku zaprezentowania spójnej koncepcji działania na
11
rzecz dążenia do wyczerpania problematyki poprzez wielowątkowość i nadmierną
szczegółowość.
Kierując się wspominanymi wytycznymi z komunikatu Komisji w zakresie lepszego
stanowienia
prawa w rozprawie
zaproponowałam
koncepcję systemu
ochrony
cyberprzestrzeni UE. Nie jest to lista celów politycznych, a zestawienie takich działań
związanych z ochroną cyberprzestrzeni, które stanowią kompleksową metodę osiągania
ujednoliconego poziomu jej ochrony. Proponowana koncepcja systemu, obejmując
cztery kluczowe
wymiary,
pozwala
na uwzględnienie
wszystkich
elementów
związanych z ochroną przestrzeni cyfrowej, w tym uwarunkowania techniczne i prawne
oraz, jak pokazano w rozprawie,
element
szczególnie
istotny,
tj. architekturę
instytucjonalną z wyznaczeniem zaangażowanych podmiotów oraz jasno określonymi
zakresami kompetencyjnymi. To z kolei pozwala uniknąć powielania prac oraz chaosu
działania. Znając priorytety, cele strategiczne, układ instytucjonalny oraz właściwość
merytoryczną poszczególnych organów będzie można podjąć proaktywne działania na
rzecz szkolenia, edukacji oraz ćwiczeń, jako kluczowych czynników w ochronie
cyberprzestrzeni.
Wspólne
prace w wymiarze
strategicznym,
prawnym
oraz
profilaktycznym będą miały swój kontekst międzynarodowy. Nie jest to sztuczne
narzucanie kierunku działania, a jedynie konsekwencja charakteru cyberprzestrze ni.
Ponadgraniczność,
aterytorialność oraz mobilność to te właściwości przestrzeni
cyfrowej, które zobowiązują do współpracy w skali globalnej.
Proponowana koncepcja systemu ochrony cyberprzestrzeni, będąc aktem soft law,
z uwagi na kompleksowość, strategiczny charakter, komplementarność mogłaby mieć
formę np. zielonej księgi.
Komisja taką formę aktu w sprawach związanyc h
z cyberprzestrzenią już z powodzeniem zastosowała m.in. odnośnie do społeczeństwa
informacyjnego,
handlu elektronicznego,
czy ochrony infrastruktury
krytycznej.
Zielona księga, będąc aktem soft law, doprecyzowałaby daną problematykę w sferze
wewnętrznej. Ponadto, jako komunikat Komisji, zawierałaby ogólne założenia odnośnie
do uporządkowania i zorganizowania ochrony cyberprzestrzeni na poziomie unijnym,
wpływając na rozwój oraz poprawę istniejących mechanizmów również w szerszym
wymiarze bezpieczeństwa wewnętrznego UE.
5) Założenie o kompleksowości i wieloaspektowości mogą budzić obawy dotyczące
efektywności i skuteczności systemu ochrony cyberprzestrzeni w UE. Innymi słowy,
jak sprawić, by proponowane rozwiązanie nie pozostało ideą o wyłącznie teoretycznym
12
znaczeniu.
Jak zaangażować instytucje i agencje unijne do wdrażania założeń
proponowanego systemu? W tym kontekście należy nawiązać do kolejnego celu,
wspominanego już, komunikatu Komisji w sprawie lepszego stanowienia prawa,
zgodnie z którym strategie polityczne UE powinny również podlegać regular ne mu
przeglądowi. Realizując ten cel w proponowanym, autorskim systemie ochrony
cyberprzestrzeni wprowadziłam system Cyber-PDCA, gwarantujący tzw. cykl życia
podejmowanych
w
ramach
przedmiotowego
systemu
inicjatyw
związanyc h
z przestrzenią cyfrową. Kluczowa w tym zakresie będzie faza sprawdzania (ang. check),
która zapewni systematyczne włączanie do każdego nowego aktu prawnego przepisów
umożliwiających jego późniejsze monitorowanie i ocenę.
6) Pojawia się także wątpliwość co do tego, czy zaprojektowany system ochrony
cyberprzestrzeni pozostaje właściwy wyłącznie dla Unii Europejskiej, czy niesie on
wartość aplikacyjną również dla państw członkowskich. Po raz kolejny, podkreślając
znaczenie przedmiotowego systemu należy odwołać się do treści komunikatu Komisji
w sprawie lepszego stanowienia prawa. Komisja proponuje w nim program sprawności
i wydajności regulacyjnej.
Wskazane przez Komisję cechy dokładnie wpisują się w założenia celowości,
efektywności
oraz
holistycznego
ujęcia
proponowanego
systemu
ochrony
cyberprzestrzeni. Ponadto każdy z czterech wymiarów przedmiotowego systemu,
tj. strategiczny,
prawny, profilaktyki proaktywnej oraz międzynarodowy,
będzie
spełniał każde z tych cech indywidualnie, powodując zaangażowanie w ich osiąganie
właściwych podmiotów.
Ochrona cyberprzestrzeni nie może pozostać wyłącznie zadaniem realizowanym na
poziomie unijnym. Poszczególne wymiary oraz wyznaczone działania muszą mieć swój
kontekst krajowy. W rezultacie system ochrony cyberprzestrzeni, w formie zielo nej
księgi, pozostaje propozycją de lege ferenda niniejszej rozprawy.
13