Článek tyto metody krátce vysvětluje a následně jejich užití demonstruje na pozitivních i problémových příkladech z oborů kybernetické bezpečnosti, ochrany osobních údajů a on-line řešení spotřebitelských sporů.
Úvod
Informační technologie nabízí bezprecedentní potenciál k virtualizaci[1] právně relevantních společenských fenoménů. Způsobilost informačních technologií k totální transformaci společenských vztahů dokonce vedla k tomu, že pojem „virtuální“ v běžném jazyce prakticky ztotožňujeme s pojmem „digitální“ nebo „on-line“.[2]
Význam virtualizace, k níž dochází v důsledku postupující penetrace společnosti informačními a komunikačními technologiemi, pro právo každopádně nespočívá v zásadní novosti doprovodných jevů. Skutečně nových otázek pro právo totiž vzniká jen velmi málo.[3] Namísto toho je právo zaměstnáváno nutností adaptovat své instrumentárium tak, aby bylo způsobilé technicky zvládnout nejrůznější „tvary změněné do nových těl“.[4]
Složitost technologie a rozmanitost aplikací
Největšími výzvami ve shora popsaném směru jsou relativní technická a funkční složitost informačních a komunikačních technologií a diverzita jejich aplikací.
I nejjednodušší počítač je technicky natolik složitou strukturou, že jeho skutečné fungování není do důsledku schopen pochopit ani profesionál. Nabízelo by se logické normativní řešení postavené na relevantním argumentu, že totiž člověku nepatří do rukou technologie, jejíž fungování není schopen pochopit. Takové řešení by zřejmě spočívalo v tom, po čem svého času volali někteří informatici, že by totiž přístup k informačním a komunikačním technologiím měl být podmíněn prokázáním technické způsobilosti člověka s těmito technologiemi nakládat.
Myšlenka „řidičáku na počítač“ byla sama o sobě logická, neboť u vysoce složitého systému, jehož provoz může uživateli nebo třetím osobám způsobit značnou škodu, je zřejmě na místě požadovat prokázání schopnosti základním způsobem jej ovládat (to i bez pochopení technické podstaty jeho fungování) – byla ale z pochopitelných důvodů odsouzena k neúspěchu. Ve výsledku by totiž vedla k zákazu jdoucímu bez pragmaticky prokazatelných důvodů přímo proti základům lidské přirozenosti.[5] Na ambici požadovat po člověku zvládnutí jím užívané technologie jsme navíc postupně rezignovali i v jiných oblastech mimo ICT. K získání klasického řidičáku tedy již dnes není třeba detailní znalost fungování osobního automobilu – to prostě proto, že současné vozy jsou konstrukčně natolik složité, že normální člověk by jejich konstrukční finesy jednak nepochopil a jednak by mu ani případné jejich pochopení nebylo nic platné.
Technická a funkční složitost informačních technologií není problematická jen z hlediska požadavků na uživatele. Deficit chápání vnitřních mechanismů fungování i relativně banálních technologií logicky ztěžuje i práci právotvůrce. Neschopnost právotvůrce přizpůsobit pozitivní regulaci konkrétním parametrům příslušných technologií přitom není dána jen jeho neschopností tyto technologie dokonale poznat, ale též relativně rychlou jejich reprodukcí. Legislativní cyklus neumožňuje zajistit efektivitu právních předpisů jejich konkrétní adaptací na aktuální stav techniky proto, že reprodukce práva je řádově pomalejší než reprodukce informačních technologií. Řešením pak bývá spolehnutí se na schopnosti praxe podřadit nové technologické jevy přímo nebo analogicky pod rozsah obecných právních pojmů.
Populárnímu požadavku na to, aby právo anticipovalo technický vývoj a neklopýtalo za technickým pokrokem, se v tomto textu nemůžeme podrobněji věnovat. Stojí však každopádně za připomenutí, že vždy, pokud se právo o něco takového pokusilo, nedopadlo to ve výsledku dobře.[6]
K výše uvedeným složitostem ještě často přistupuje doposud bezprecedentní subjektivní pluralita.[7] U běžné společenské transakce, jakou je např. nákup knihy v kamenném knihkupectví zaplacený hotovostí, je subjektivní situace relativně transparentní. Je to prostě vztah člověka s obchodníkem. Virtualizovaná obdoba této transakce však může mít ze subjektivního hlediska nepoměrně složitějších charakter. Typicky jsou totiž subjektem tohoto vztahu ještě poskytovatelé různých služeb informační společnosti, tj. např. poskytovatel veřejně dostupné služby elektronických komunikací, poskytovatel místního připojení, provozovatel zprostředkovatelské platformy, subjekt zpracovávající data o zákaznících, subjekt zajišťující bezpečnost platformy, poskytovatel platební brány, vydavatel elektronického platebního prostředku aj.
Rozptyl aplikací je jako druhý ze shora zmíněných faktorů pro právo nepříjemný z toho důvodu, že často fakticky brání efektivní regulaci prostřednictvím konkrétních behaviorálních pravidel. Standardní mechanismus právní regulace je totiž založen na tom, že právotvůrce volí strukturu a obsah konkrétních pravidel kódovaných do formy pozitivního práva podle projektovaného typického případu jejich užití. Výsledná pozitivní úprava má co nejefektivněji pokrýt případy spadající pod příslušný standard, přičemž nestandardní situace řešíme, je-li to možné, za užití zásad, analogie apod.[8]
Z výše uvedeného plyne, že virtualizace společenských vztahů je vzhledem k efektivitě právní regulace zatížena tím, že předmětným technologiím pořádně nerozumí právotvůrce ani jejich uživatel. K tomu ještě přistupuje taková rozmanitost různých aplikací, která jednak vylučuje povědomí na straně právotvůrce (tj. právotvůrce si nedokáže ani představit, jak mohou různé budoucí aplikace vůbec vypadat) a kromě toho i brání tvorbě efektivních pravidel mapovaných na konkrétní parametry příslušných technických řešení.
Virtualizace metody právní regulace
Z dosavadních zkušeností se zdá, že s výše popsanými problémy nelze hnout v tom směru, že by se uživatel nebo právotvůrce naučil chápat technické mechanismy fungování příslušných technologií nebo že by se snížila míra rozmanitosti jejich aplikací. Naopak lze očekávat, že odstup člověka od technologie dále poroste[9] a že současně poroste i zmíněná aplikační diverzita.[10] Právo přitom (naštěstí) nedisponuje nástroji k tomu, aby tyto trendy zvrátilo.[11]
K tomu, aby si právo alespoň zachovalo efektivitu svého regulačního mechanismu, je třeba odpovídajícím způsobem adaptovat na shora zmíněné výzvy metodu právní regulace.[12] Projevem virtualizace v právu se tak stávají pokusy o nové regulatorní přístupy, které mají jednak kompenzovat uvedené funkční deficity a jednak se snaží využít možností informačních technologií k zavedení doposud nedostupných regulatorních nástrojů. Z první kategorie nových přístupů se budeme v tomto textu dále věnovat tzv. performativním pravidlům (performance-based rules). Z druhé kategorie se dále zaměříme na chytrá pravidla (smart rules).
Pojem performativních pravidel označuje regulatorní techniku motivující regulované subjekty k tvorbě vlastních konkrétních pravidel chování.[13] Subjekty, k nimž právní regulace směřuje, zpravidla nejsou jednotliví lidé, ale tzv. definiční autority, tj. subjekty reálně provozující příslušné technologie.[14] Tento mechanismus právní regulace je založen na předpokladu, že k lidskému jednání, které je předmětem právní regulace, vždy dochází zprostředkovaně, tj. prostřednictvím nějaké technologie. Provozovatel této technologie, kterého též označujeme teoretickým pojmem definiční autority, má na výsledné jednání uživatele určující vliv, neboť jej díky totální technické kontrole může prakticky libovolně usměrňovat.[15]
Co do podstaty fungování mají performativní pravidla blízko k teleologickým normám. Stanoví totiž velmi obecně definovaný cílový stav, k němuž má směřovat jednání regulovaného subjektu. Odlišnost performativních pravidel od teleologických norem spočívá v tom, že performativní pravidlo zavazuje regulovaný subjekt k tomu, aby si za stanoveným účelem vytvořil vlastní konkrétní pravidlo chování (normu). Norma autonomně vytvořená na základě performativního pravidla je formalizována do podoby vnitropodnikového pravidla, typického ujednání ve smlouvě nebo dokonce počítačového kódu (k tomu viz dále) a tato její forma je pak i předmětem vrchnostenské kontroly a sankce. Regulovaný subjekt tedy nemůže splnit požadavek performativního pravidla jen tím, že se sám nějakým způsobem chová, ale plní jej prostřednictvím své vlastní relativně autonomní normotvorby postihující nejen jeho chování, ale především chování subjektů pod jeho technickou „jurisdikcí“ (tj. uživatelů jeho služeb, zaměstnanců apod.).[16]
Performativní pravidla stojí, kromě shora zmíněného předpokladu týkajícího se významu definiční autority, ještě na dalších premisách odpovídajících výše diskutovaným problémům právní regulace virtualizovaných společenských fenoménů. Předně předpokládáme, že definiční autorita má nejlepší povědomí o tom, jak vypadá příslušná technologie a jak ji co nejefektivněji nastavit k tomu, aby fungovala požadovaným způsobem. Uživatel ani vrchnost nikdy nedisponují takovou mírou poznání technologie, jakou má ten, kdo tuto technologii vyvinul nebo kdo ji profesionálním způsobem provozuje.[17]
Tatáž definiční autorita je rovněž nejlépe disponována k adekvátnímu a efektivnímu nastavení technologie odpovídajícímu požadavkům právní úpravy, tj. k nastavení, které v informačním systému nebo síti při vynaložení co nejmenších nákladů odpovídajícím způsobem usměrní chování uživatelů. Vedle technických kompetencí má k tomu definiční autorita i právní nástroje. Definiční autorita má totiž jako vlastník zpravidla ultimativní katalog práv k příslušnému systému nebo síti. Typicky efektivním řešením je v tomto směru implementace předmětného pravidla chování do kódu informačního systému nebo sítě.[18] Definiční autorita tedy v tomto regulatorním modelu bere obecně definované pravidlo chování, z něj vytváří partikulární konkrétní normu pro svůj systém a tuto normu pak přímo vkládá do funkčního kódu virtuálního prostředí. Adekvátní vyjádření normy kódem přitom zajišťuje takovou míru efektivity, že dokonce není třeba řešit alternativu k naplnění její dispozice (sankci) – systém totiž na technické úrovni (tj. na úrovni svého de facto přírodního zákona) nic takového jako nenaplnění dispozice reálně neumožňuje.
Druhou regulatorní technikou, která se objevila jako důsledek virtualizace společenských vztahů, je metoda chytrých pravidel. Nejde v tomto případě o pokus o kompenzaci přirozeně rostoucí neefektivity práva jako u performativních pravidel, ale o relativně nový, technologicky determinovaný způsob zvyšování efektivity stávajících konkrétních právních pravidel v reálném čase díky minimalizaci informačního deficitu vrchnosti.[19] Regulované subjekty tedy v tomto případě nejsou nuceny ke konkretizaci obecných pravidel ve formě autonomní normotvorby, ale pouze k tomu, aby vrchnosti poskytovaly v reálném čase informační servis o fungování příslušného systému nebo služby.
Obecně vzato není na chytrých pravidlech nic moc nového. Vrchnost se vždy pokoušela sjednat si co nejlepší informační servis, přičemž platilo, že čím důležitější je veřejný zájem, tím intenzivnější je snaha o jeho zajištění. V případě služeb informační společnosti však jde o posunutí této snahy na zcela novou úroveň díky tomu, že poskytovatelé služeb informační společnosti často disponují dokonale přesnými daty o veškerém jednání svých uživatelů. Díky tomu a díky přirozené monopolizaci některých služeb informační společnosti (typicky u vyhledávačů, kontraktačních platforem, služeb elektronických komunikací aj.) mohou mít orgány autoritativně aplikující právo dokonalý a vcelku snadný přehled i o nejmenších detailech fungování regulovaného substrátu.
Typickým příkladem využití chytrých pravidel je estonská regulace platformy Uber.[20] K tomu, aby mohla tato platforma v Estonsku působit, zavázala se, vedle dalších povinností, k předávání dat o ekonomické aktivitě řidičů estonské finanční správě. Díky tomuto informačnímu servisu má estonská finanční správa dokonalý přehled o tom, kdo a jak často si formou spolujízdy přivydělává a díky automatizované analýze dat pak může s vysokou mírou efektivity vést daňové řízení. Řidiči to samozřejmě dobře vědí a ti, kdo tuto formu výdělku standardně realizují (tj. nejedná se o nahodilou aktivitu, která by nebyla předmětem daňové povinnosti), z vlastní iniciativy si opatřují živnostenská oprávnění a podávají pravdivá daňová přiznání. Každému je totiž jasné, že daňová kontrola v tomto případě nemusí být selektivní a sankce nemusí být předmětem nahodilé smůly, ale že díky možnosti automatizovaného zpracování velkých datových objemů mohou být kontrola i sankce plošné a vysoce přesné.
V následujících částech podrobněji rozebíráme, jak se shora konstatované problémy související s komplexitou virtualizovaných právních vztahů projevují v partikulárních oblastech platného práva. Z oborů, kde již máme s fungováním performativních nebo chytrých pravidel nějaké, byť velmi omezené zkušenosti, jsme vybrali problematiku kybernetické bezpečnosti, ochrany osobních údajů a on-line řešení spotřebitelských sporů.
Článek byl publikován v časopise Právník č. 1/2019. Jeho pokračování je dostupné zde.
[1] Pojem virtualizace, který užíváme od antiky, označuje technologicky determinovanou změnu formálních aspektů určitého fenoménu při současném zachování jeho podstaty. Účelem virtualizace je zbavit se problémů spojených se starou formou, přičemž problémy související s novou formou mají být méně závažné. Podrobněji k pojmu viz monografii LÉVY, P. Becoming Virtual – Reality in the Digital Age. New York: Plenum Trade, 2002.
[2] Takové chápání tohoto pojmu však není zcela adekvátní, neboť virtualizace nemusí nutně probíhat jen za užití informačních technologií. Virtuální je potřeba vnímat jako protiklad k aktuálnímu – srov. POLČÁK, R. a kol. Právo informačních technologií. Praha: Wolters Kluwer, s. 7.
[3] Existují dokonce názory, že postupující penetrace společnosti informačními technologiemi nevyžaduje žádnou zvláštní pozornost právní vědy – srov. např. EASTERBROOK, F. Cyberspace and the Law of the Horse. The University of Chicago Legal Forum. 1996, roč. 1996, s. 207.
[4] Tento obrat použil Ovidius v úvodu svých Proměn – viz NASO, P. O. Proměny. Praha: Odeon, 1969, s. 17. Vedle fyzických proměn, o nichž pojednává tato fenomenální báseň, se velmi dobře hodí i k označení proměn, jimiž prochází různé právní formy – podrobněji viz POLČÁK, R. Internet a proměny práva. Praha: Auditorium, 2012, s. 8.
[5] Pro člověka není přirozenější činnosti, než je informační aktivita. Informace je podstatou fungování živých organismů a člověk je tím pádem z podstaty nucen vyhledávat a rozvíjet nástroje, které mu usnadňují tvorbu, zpracování nebo komunikaci dat – srov. POLČÁK, R. Internet a proměny práva, s. 37.
[6] Příkladem může být právní úprava zaručeného elektronického podpisu. Právo v tomto případě předběhlo dobu a upravilo podmínky k užití technologie, u níž se předpokládalo masivní rozšíření mezi širokou veřejnost. Namísto právem předpokládaného nahrazení vlastnoručního podpisu si však společenský vývoj v tomto případě šel vlastní cestou, a zaručeného elektronického podpisu tak dnes až na výjimky používá jen ten, kdo z nějakého důvodu musí.
[7] Podrobněji viz např. POST, D. Governing Cyberspace. Wayne Law Review. 1996, roč. 43, s. 155.
[8] Srov. ZETSCHE, D. A. – BUCKLEY, R. P. – BARBERIS, J. – ARNER, D. W. Regulating a Revolution: From Regulatory Sandboxes to Smart Regulation. Fordham Journal of Corporate and Financial Law. 2017, roč. 23, č. 1, s. 31.
[9] Tento pohyb lze pozorovat na příkladu osobních počítačů. Zatímco měl v devadesátých letech každý uživatel dokonalý přehled alespoň o tom, jaký procesor nebo jakou paměť má ve svém systému, dnes jsou tyto parametry často lhostejné i profesionálům.
[10] Tento trend je důsledkem flexibility technických řešení umožňujících uživatelům velkou míru individualizace jejich zařízení. U prvních generací telefonů standardu GSM tak měl uživatel možnost individualizovat si své zařízení maximálně volbou barevného krytu, zatímco dnes prakticky nelze v praxi nalézt dva mobilní telefony s totožným softwarem.
[11] Srov. SAXBY, S. The Role of Government in National/International Internet Administration. In: AKDENIZ, Y. – WALKER, C. – WALL, D. (eds). The Internet, Law and Society. Harlow: Pearson Education Limited, 2000, s. 3.
[12] Tento požadavek je z metodologického hlediska čistě pragmatický a vychází z praktické zkušenosti s reálnou efektivitou práva v rychle se měnícím prostředí – k různým důvodům užití pragmatické metody v takových případech viz monografii THOMAS, E. W. The Judicial Process. Cambridge: Cambridge University Press, 2005.
[13] V odborné literatuře se tento pojem v minulosti nejčastěji vyskytoval v souvislosti s obchodováním na kapitálovém trhu, leteckou dopravou nebo kontrolou emisí – srov. COGLIANESE, C. The Limits of Performance-Based Regulation. University of Michigan Journal of Law Reform. 2017, roč. 50, č. 3, s. 525.
[14] Podrobněji k pojmu definičních autorit viz POLČÁK, R. a kol. Právo informačních technologií. Praha: Wolters Kluwer, 2018, s. 130.
[15] Jedná se o variantu regulatorního mechanismu, v jehož centru stojí reálná aktivita určité instituce. Obecně ke koncepci institucionalistického normativismu viz základní monografii WEINBERGER, O. Law, institution, and legal politics – Fundamental Problems of Legal Theory and Social Philosophy. Dordrecht: Kluwer Academic Publishers, 1987, s. 154.
[16] Srov. KESAN, J. P. Private Internet Governance. Loyola University Chicago Law Journal. 2003, roč. 35, č. 1, s. 87.
[17] Historický vývoj fenoménu definičních autorit mapuje jeden z předních teoretiků práva informačních technologií Lawrence Lessig v monografii LESSIG, L. The Future of Ideas – The Fate of the Commons in a Connected World. New York: Vintage Books, 2002, s. 143.
[18] Lessig se v tomto směru proslavil tezí, že totiž (počítačový) kód je zákonem kyberprostoru argumentovanou původně v práci Code and Other Laws of Cyberspace, později po revizi vydanou jako LESSIG, L. Code version 2.0. New York: Basic Books, 2006.
[19] Podrobněji k pojmu chytré regulace, který se poprvé objevil v oboru právní regulace finančních trhů, viz např. ZETSCHE, D. A. – BUCKLEY, R. P. – BARBERIS, J. – ARNER, D. W. Regulating a Revolution: From Regulatory Sandboxes to Smart Regulation. Fordham Journal of Corporate and Financial Law. 2017, roč. 23, č. 1, s. 31.
[20] Podrobněji k různým přístupům k řešení fenoménu Uber napříč Evropou viz srovnávací studii DEMASI, A. Uber: Europe’s Backseat Driver for the Sharing Economy. Creighton International and Comparative Law Journal. 2016, roč. 7, č. 1, s. 73.
Diskuze k článku ()