Policie může až na tři měsíce nechat vypnout web. Nově to umožňuje zákon

[Mikulas.Ferjencik]

To je tak nějak dvousečné, protože zase právě tenhle mírnější prostředek nemusí být takový ostych použít.

Souhlas, to je to, co tvrdí wedos a co jsme imho dostatečně nezvážili, ale bez znalosti budoucí praxe nevíme, jestli problém nastane.

[David.Wagner]

pokud policie chce vypnout nějaký nelegální web, tak providerovi nemusí zabavit server (a třeba způsobit škody dalším lidem), ale může mu nařídit, ať ho vypne sám

V takovém případě by se měla obrátit na soud, nebo alespoň na státního zástupce. Na internetu totiž věc nesnese odkladu nikdy (protože jinak by se například v mezidobí mohli další lidi koukat na filmy, čímž by vznikala škoda vlastníkům licencí), takže si Policie bude moci dělat všechno sama.

Ale myslím, že cesta k nápravě je. Přijatá úprava totiž dost možná není v souladu s judikaturou Soudního dvora EU:

[54]In that regard, in accordance with the principle of legal certainty, it must be possible for the addressee of an injunction such as that at issue in the main proceedings to maintain before the court, once the implementing measures which he has taken are known and before any decision imposing a penalty on him is adopted, that the measures taken were indeed those which could be expected of him in order to prevent the proscribed result.
[55]None the less, when the addressee of an injunction such as that at issue in the main proceedings chooses the measures to be adopted in order to comply with that injunction, he must ensure compliance with the fundamental right of internet users to freedom of information.
[56]In this respect, the measures adopted by the internet service provider must be strictly targeted, in the sense that they must serve to bring an end to a third party’s infringement of copyright or of a related right but without thereby affecting internet users who are using the provider’s services in order to lawfully access information. Failing that, the provider’s interference in the freedom of information of those users would be unjustified in the light of the objective pursued.
[57]It must be possible for national courts to check that that is the case. In the case of an injunction such as that at issue in the main proceedings, the Court notes that, if the internet service provider adopts measures which enable it to achieve the required prohibition, the national courts will not be able to carry out such a review at the stage of the enforcement proceedings if there is no challenge in that regard. Accordingly, in order to prevent the fundamental rights recognised by EU law from precluding the adoption of an injunction such as that at issue in the main proceedings, the national procedural rules must provide a possibility for internet users to assert their rights before the court once the implementing measures taken by the internet service provider are known.

Tučně jsou části, na které podle mě není související procesní úprava dostatečně připravena.

[David.Wagner]

Jinak když odhlédnu úplně od procesní a mediální stránky věci (ta se mi zdá ale teda zdaleka nejzásadnější) tak bych šel krátce k obsahu.
Pokusil jsem se o co nejoptimističtější čtení toho zákona a o co nejširší aplikaci toho, že se jedná v dobré víře.

Vykopírovávám relevantní část

§ 7b
(1) Je-li zapotřebí zabránit ztrátě, zničení nebo pozměnění dat důležitých pro trestní řízení, která jsou uložena v počítačovém systému nebo na nosiči informací, lze nařídit osobě, která uvedená data drží nebo je má pod svojí kontrolou, aby taková data uchovala v nezměněné podobě po dobu stanovenou v příkazu a učinila potřebná opatření, aby nedošlo ke zpřístupnění informace o tom, že bylo nařízeno uchování dat.

=> tzn. může udělat kopii k danému času, kterou odevzdá, NEMUSÍ vypínat danou službu. Tím data uchová v nezměněné podobě.

(2) Je-li to zapotřebí k zabránění pokračování v trestné činnosti nebo jejímu opakování, lze nařídit osobě, která drží nebo má pod svojí kontrolou data, která jsou uložena v počítačovém systému nebo na nosiči informací, aby znemožnila přístup jiných osob k takovým datům.

=> tohle je úplně hloupě formulované, ale imho by bylo nejvhodněšjí to vztahovat na ty zajištěná data - a tam je jasné, že ke kopii pro účely vyšetřování by neměl mít někdo přístup zpětně.
Velmi problematický a varující je ale to, že přímo důvodovka (na stránce 52, http://www.psp.cz/sqw/text/orig2.sqw?idd=133551, viz níže ještě) právě vypnutí aktivního eshopu třeba uvádí jako věc, kterou chce dělat.

(3) Příkaz podle odstavce 1 nebo 2 je oprávněn vydat předseda senátu a v přípravném řízení státní zástupce nebo policejní orgán. Policejní orgán potřebuje k vydání takového příkazu předchozí souhlas státního zástupce; bez předchozího souhlasu může být příkaz policejním orgánem vydán jen tehdy, jestliže nelze předchozího souhlasu dosáhnout a věc nesnese odkladu.

=> tady se mi to zpětné schválení zdá, že jaksi je spíš hloupý, ale asi mohou nastat situace (potřebuju zajistit hned) že to nepočká do rána. Navíc můžeme doufat, že potřeba souhlasu státního zástupce odradí většinu zneužití a je to lepší jištění než dnes, to jo.

(4) V příkazu podle odstavce 1 nebo 2 musí být označena data, na která se příkaz vztahuje, důvod, pro který mají být data uchována nebo k nim má být znemožněn přístup, a doba, po kterou mají být tato data uchována nebo k nim má být znemožněn přístup, která nesmí být delší než 90 dnů. Příkaz musí obsahovat poučení o následcích neuposlechnutí příkazu.

=> tohle je asi jasný: musím říct, co vlastně sleduju a proč, taky myslím zlepšení

Při tomto čtení pak vychází, že podle toho zákona se skutečně nemá nutně jednat o možnost vypnout službu, ALE o možnost získat snapshot v nějakém čase a zamezit další manipulaci s ním. Což je myslím ještě v mezích programu přijatelný, ale ta podivná formulace myslím umožňuje nějaké to zneužití a zasloužila by narovnat a upřesnit.
Co je ale docela alarmující je to znění důvodovky, které restriktivní čtení 2) přímo podporuje.

Nařízení uchování dat směřuje pouze k jejich uchování po stanovenou dobu v nezměněné podobě, nejde o zpřístupnění jejich obsahu, orgány činné v trestním řízení se s obsahem dat nemohou v této fázi seznámit, k tomu slouží postupy pro zajištění dat. V daném ustanovení se dále umožňuje urychleně předběžně reagovat na závadná data a nařídit osobě, která je drží nebo je má pod svojí kontrolou, aby na časově omezenou dobu znemožnila přístup jiným osobám k takovým datům, pokud je to zapotřebí k zabránění pokračování v trestné činnosti nebo jejímu opakování (typicky podvodné e-shopy, škodlivé kódy – viry, červy, zdroje DDoS útoků atd.). V návaznosti na uvedené opatření předběžné a dočasné povahy pak lze podle jiných předpisů docílit odstranění takových dat (např. dle zákona č. 480/2004 Sb.). Obdobnou úpravu lze nalézt např. ve slovenském trestním řádu.

Vzhledem k tomu, že dneska už AFAIK většina webu skutečně neběží ze serveru u někoho doma (takže policie odnášející počítače prostě není ani tak moc hrozba) tak to vnímám jako další nástroj do arzenálu policie, který jí umožní se vypořádat s lecčíms co dnes nemůže. A to považuju za dost zneužitelný.



TL:DR - i při hodně optimistickém čtení je to myslím spíš blbý a chtělo by to nějaké pozměňováky.
Při čtení naznačeném důvodovkou to myslím doopravdy je hloupej kus zákona, který může hodně bolet. V principu asi lze chápat, že mají naše pořádkové složky mít možnost říct někomu “vypni to”, ale pak by to chtělo přesný seznam proč se to může stát v čistém zákoně, ne to tak mimochodem zmínit v důvodovce. Formulaci "když to nesnese odkladu" si lze vykládat hodně gumově - typicky tam bude spatřit jak věc, která vysílá do světa peklo, tak věc, která tam má vystavenou novou Hru o Trůny bez licence (a u toho seriálu je samozřejmě zcela nutný zabránit tomu, aby ho někdo viděl, páč je to hrozná narativní marnost).

Doplnění: Lukáš Blažej mě přesvědčil a já musím uznat, že všechny rozumné zálohovací důvody pro existence 2) jsou vlastně už zahrnuté v 1), takže 2) má fakt jen a pouze význam v "možnosti požádat o svěšení"

(jinak teda podčást je samozřejmě to, že je to všechno “policista dává provozovateli výzvu to shodit/ zálohovat”, nikoliv že by něco sám mohl někde vypnout je samozřejmě fajn, byť praxe pokud vím vypadá tak, že náležitý policejní tým upozorní providera, že mu někde běží peklo a provider ho radši shodí)

[Roman.Kucera]

- využiji dostupné možnosti, abych pro svá rozhodnutí získal potřebné informace, ...
- nepodpořím návrh, pokud všichni, kterých se týká, nedostali dostatek času se s ním seznámit nebo neměli možnost uplatnit svoje připomínky v rozpravě.,

Ptám se, jestli jste tuto podporu konsultovali s největší hostingovou firmou, jíž je Wedos, o níž je známo, že se ochranou svých klientů a jejich svobodou projevu intensivně zabývá a vede v jejich zájmu řadu soudních sporů a má s tím dlouholeté zkušenosti.
Kdo byl zpravodaj? Jak se tento postoj klubu projednával?

[Michal.Ketner]

Vyjádření za poslanecký klub

Jde o vládní návrh. Piráti jej podpořili, protože jde o zmírnění současného stavu, kdy policie může již nyní udělat razii u provozovatele a fyzicky mu odnést servery (Paragraf 79 trestního zákoníku). Pozastavení webů pro vyšetřování závažné trestné činnosti jako je phishing je mírnější alternativou k současnému represivnímu stavu. Policie také nemůže jednat svévolně; může takovou web pozastavit jen tehdy, pokud věc nesnese odkladu (například pro probíhající podvod), jinak na příkaz soudu.

Jinými slovy: Podle dosud platné legislativy může policie nechat server za úplně stejných podmínek zabavit, z toho důvodu nám příslušný paragraf nepřijde příliš problematický.

sorry, ale o zadne zmirneni stavu nejde. techniickou moznost fyzicky odnest destruktivni server police nema (chtel bych je videt jak policie jezdi po svetu a bere servery amazonu nebo cloudflaru na kterych bezi jednotlive uzly klasteru s aplikaci provozujici trestni cinnost). zato zablokovat provoz v ramci ceske republiky muze, a aktivne dela - kauza online gabling - https://www.root.cz/clanky/jak-blokujem ... rdni-weby/

podle dosud platne legistalitvy police nemuze zabavit (neproveditene), muze jen chtit zabavit, coz neni uplne to same.
po zmene - muze naprosto legalne blokovat. ble.

p.s. aspon ze dobre vime jak se takove blokovani obchazi.
co tak, v ramci kompenzacnich opatreni za prehlednuty problem, aspon zverejnit (tiskovina) nejaky pekny navod o tom jak se obchazi blokovani webu?

[V__]

Mam otazku na znale zakonu ci policejnich postupu, tykajici se ne blokovani, ale dat samotnych:

§ 7b

(1) Je-li zapotřebí zabránit ztrátě, zničení nebo pozměnění dat důležitých pro trestní řízení, která jsou uložena v počítačovém systému nebo na nosiči informací, lze nařídit osobě, která uvedená data drží nebo je má pod svojí kontrolou, aby taková data uchovala v nezměněné podobě po dobu stanovenou v příkazu a učinila potřebná opatření, aby nedošlo ke zpřístupnění informace o tom, že bylo nařízeno uchování dat.

§ 7b

(3) Příkaz podle odstavce 1 nebo 2 je oprávněn vydat předseda senátu a v přípravném řízení státní zástupce nebo policejní orgán. Policejní orgán potřebuje k vydání takového příkazu předchozí souhlas státního zástupce; bez předchozího souhlasu může být příkaz policejním orgánem vydán jen tehdy, jestliže nelze předchozího souhlasu dosáhnout a věc nesnese odkladu.

Tucny text tedy implikuje i to, ze je mozne ziskat(zamrazit) data, aniz by se o tom kdokoliv, mimo poskytovatele, dozvedel(demonstrativne rekneme, ze proste jen nekoho smiruji na prikaz vlivneho politika) a to na zaklade policejni vule(rekneme, ze pro demonstraci policie uvede poskytovateli duvod, e.g. terorismus a hrozi, ze data autor smaze).

Ma tedy policie pristup k temto zamrazenym datum na zaklade totoho prikazu rovnou s cilem prozkoumat a vyhodnotit, zda-li jsou relevantni a pak jen informovat poskytovatele, muzete je smazat a nikoho dale neinformovat? Nebo ma povinnost sdelit dotycnemu majiteli dat napr. "Vase data byla kontrolovana v souvislosti s prosetrovanim trestneho cinu dle paragrafu bla bla bla s vysledkem nespadaji do kauzy. Dekujeme za spolupraci"?

Otazkou chci rict, ze mi to takto napsane pripada jako, ze si muze Policie vyzadat cokoliv a pak to ani nemusi oduvodnit a obcan se ani nedozvi, ze si nekdo lustroval jeho data a nema se jak branit.

[Mikulas.Ferjencik]

Ještě jedna poznámka,

imho se ten paragraf 7b primárně netýká vztahu provider návštěvník webu, ale vztahu provider klient hostingu. Jinými slovy policie může nařídit providerovi, aby znemožnil majiteli phishingového webu přístup k databázi platebních karet například.

Nemohu vyloučit extenzivní výklad ala wedos, ale tento výklad mi i v kontextu okolních paragrafů přijde daleko logičtější. Schválně se zeptám na policii, jak to chápou oni.

[V__]

Ještě jedna poznámka,

imho se ten paragraf 7b primárně netýká vztahu provider návštěvník webu, ale vztahu provider klient hostingu. Jinými slovy policie může nařídit providerovi, aby znemožnil majiteli phishingového webu přístup k databázi platebních karet například.

Nemohu vyloučit extenzivní výklad ala wedos, ale tento výklad mi i v kontextu okolních paragrafů přijde daleko logičtější. Schválně se zeptám na policii, jak to chápou oni.

Celkem by mě zajímalo kolik reálně bylo na českých hostingách hostováno Phishingových webů.
Jinak ohledně té databáze myslíš databázi chycených oveček, která je přímo na hostingu? Tak to znemožnění přístupu mě přijde celkem k ničemu, protože po tom co se ten web stopne už další nepřibudou a ty co už tam jsou uložené už dávno má někde jinde, min přeposlaný v mailu, aby je mohl co nejrychleji použít.

[Vit.Fux]

Kdo byl zpravodaj? Jak se tento postoj klubu projednával?

A už tady na nás zase vyskakuje nezveřejňování zápisů z poslaneckého klubu... Po kolikáté už? Jak si mám při příštích primárkách pohlídat, abych nepodporoval kandidáta, který se dle mého názoru nechoval lege artis, když nevím, kdo se jak choval a s jakými argumenty? (Možná tedy nevolit příště nikoho ze současných poslanců?)
Je stále část zápisu, která se týká tohoto již proběhlého hlasování důvěrná? Pokud ano: proč? Pokud ne: prosím odkaz na její zveřejnění (neboť dle OŘ je lhůta ASAP).
PS Jak dalece přitvrzovat bude členstvo muset, aby se dostalo k tomu, co z logiky má mít, neboť přeci politici se kontrolují?

[V__]

Ještě jedna poznámka,

imho se ten paragraf 7b primárně netýká vztahu provider návštěvník webu, ale vztahu provider klient hostingu. Jinými slovy policie může nařídit providerovi, aby znemožnil majiteli phishingového webu přístup k databázi platebních karet například.
…

Vždyť provider může být i klient hostingu (majitel phishingového webu). Obě věci jedna osoba.