Pasivní vs. aktivní hosting: hranice režimu Safe Harbour

Automatické zpracování dat limituje možnosti kontroly obsahu  

S rozvojem internetu a jeho relativní anonymitou se množí případy poškozování práv třetích osob, kdy je pro poškozené obtížné najít skutečného viníka, a domáhat se tak řádné ochrany svých práv. Na rozdíl od tradičních forem komunikace a zveřejňování informací jsou v internetovém prostředí informace často zpracovávány hromadně a automaticky v rámci služeb, jejichž poskytovatelé zpracovávaný obsah ani neznají. Některé z nich mají stovky milionů zákazníků po celém světě a objem dat, který zpracovávají, se pohybuje v řádu stovek petabytů – tedy objemu dat odpovídajícímu desítkám milionů DVD.

V případě obecných odpovědnostních režimů, např. u tištěných či internetových periodik, lze po vydavateli pochopitelně spravedlivě požadovat, aby nesl odpovědnost za protiprávní obsah. Je to totiž právě on, kdo rozhoduje o tom, jaký obsah bude součástí periodika; je tedy plně odpovědný za jeho případnou protiprávnost.

V případě internetových služeb, jejichž obsah je přímo ovlivňován a tvořen jejich uživateli, však stejná konstrukce odpovědnosti naráží na četná úskalí. Pokud by poskytovatelé některých služeb informační společnosti, především pak služeb spočívajících v prostém přenášení informací, cachingu a hostingu tak, jak jsou vymezeny v relevantních předpisech,[1] čelili stejnému odpovědnostnímu režimu jako vydavatelé tištěných médií nebo provozovatelé televizního vysílání, docházelo by k vystavení ISP neúměrnému riziku vzniku odpovědnosti za cizí jednání. Vzhledem k vysokému provozu na službách těchto poskytovatelů a nekontrolovatelnosti jednání uživatelů by neodvratně docházelo k tomu, že by ISP vznikala odpovědnost za obsah tvořený uživateli, o kterém by nevěděli a bez vynaložení neúměrného úsilí ani vědět nemohli. Dále je třeba připomenout globálnost působení ISP, z čehož vyplývá, že činnost ISP se bude řídit rozličnými právními řády, které jsou v praxi značně odlišné. Konstantní ověřování, zda služba a její obsah jsou či nejsou poskytovány po právu a v souladu se zákonem, by vedlo buď k neúměrnému zvýšení nákladů za poskytovanou službu, či k nežádoucímu užívání tzv. geoblockingu, tj. omezování poskytování služeb ve vybraných zemích.

Aby bylo možné poskytnout prostředí pro řádné a dostupné poskytování služeb ISP na straně jedné a efektivní vymáhání porušených práv třetích osob na straně druhé, bylo nezbytné pro tyto poskytovatele vytvořit zvláštní režim vyloučení odpovědnosti, založený na režimu tzv. bezpečných přístavů (anglicky Safe Harbour). Jako řešení tak bylo zvoleno akcentování odpovědnosti těch, kdo obsah do internetových služeb fakticky umisťují, a zároveň stanovení podmínek, za nichž je odpovědnost ISP za obsah umístěný těmito osobami vyloučena. Sporů okolo protiprávního obsahu na internetu však přibývá a je jasné, že podpora služeb informační společnosti nesmí mít za důsledek účelové přehlížení porušování práv, ať už jde o práva majitelů obsahu, osobnostní práva, práva na ochranu osobních údajů apod.

Na úrovni Evropské unie je vyloučení odpovědnosti poskytovatelů služeb informační společnosti upraveno ve směrnici Evropského parlamentu a Rady 2000/31/ES ze dne 8. 6. 2000 o některých právních aspektech služeb informační společnosti (směrnice o elektronickém obchodu). V České republice byla tato směrnice transponována zák. č. 480/2004 Sb., o některých službách informační společnosti, ve znění pozdějších předpisů (dále jen „ZSIS“). K tomuto zákonu byl nedávno Nakladatelstvím C. H. Beck vydán komentář zabývající se touto problematikou (z pera autora tohoto článku, pozn. red.). Tématu odpovědnosti poskytovatele služeb informační společnosti byl rovněž věnován prostor v dřívějším článku na webových stránkách Bulletinu advokacie a také v dalších odborných periodikách.[2]

Dva pilíře pro právní jistotu 

Jak bylo uvedeno výše, legislativa řešící odpovědnost ISP za obsah stojí na konceptu tzv. bezpečných přístavů (Safe Harbour). Tyto bezpečné přístavy představují jasně definované podmínky, při jejichž splnění jsou ISP vyloučeni z odpovědnostních vztahů vznikajících díky informacím, které jsou v rámci jejich služby zpracovávány a/nebo zpřístupněny třetím osobám. Jednotliví ISP mají podmínky nabytí a udržení bezpečných přístavů upraveny odlišně, nicméně obecně jsou tyto podmínky založeny na nevědomosti ISP o výskytu protiprávního obsahu a dále zákazu významných ingerencí poskytovatelů do činnosti jejich uživatelů či obsahu. Vzhledem k dalšímu výkladu si uveďme příklad na konstrukci bezpečného přístavu pro ISP třetího typu, tedy hostingu.

Bezpečný přístav je v případě hostingových služeb (tedy služeb spočívajících v ukládání obsahu poskytovaného uživatelem) zakotven v čl. 14 směrnice o elektronickém obchodu, v českém právním řádu je pak transponován v § 5 ZSIS. Podle ust. čl. 14 směrnice o elektronickém obchodu, kterou § 5 ZSIS transponuje, tak poskytovatel není odpovědný za informace ukládané na žádost příjemce v případě, že:

–  poskytovatel nebyl účinně seznámen s protiprávní činností nebo informací a ani s ohledem na nárok na náhradu škody si není vědom skutečností nebo okolností, z nichž by byla zjevná protiprávní činnost nebo informace, nebo

– poskytovatel, jakmile se o tomto dozvěděl, jednal s cílem odstranit tyto informace nebo k nim znemožnit přístup.

Aby činnost poskytovatele služby informační společnosti spadala pod bezpečný přístav ve smyslu směrnice o elektronickém obchodu, resp. ZSIS, musí poskytovatel hostingových služeb splňovat následující podmínky:

a) absence konkrétní vědomosti o protiprávním charakteru informace,

b) absence konstruktivní vědomosti o protiprávním charakteru informace,

c) absence kontroly nad jednáním uživatele ze strany poskytovatele služby a

d) pasivní přístup poskytovatele služby k jejímu poskytování.[3]

Dokud poskytovatelé hostingových služeb budou dodržovat tyto podmínky bezpečného přístavu, není možné se vůči těmto subjektům dovolávat odpovědnosti za obsah uložený jejich uživateli. Na tomto místě je třeba upozornit na nedůslednost českých zákonodárců v procesu transpozice evropské směrnice. Zatímco komunitární úprava bezpečného přístavu vymezuje podmínky, při jejichž dodržení ISP není odpovědný za uživatelský obsah, český zákonodárce k úpravě přistoupil tak, že pokud ISP poruší podmínky bezpečného přístavu, pak mu za uživatelský obsah odpovědnost vzniká. Byť se na první pohled jedná pouze o zvolení odlišné legislativní techniky úpravy, mohla by mít tato odlišnost pro fungování bezpečného přístavu zásadní dopady; tuto odlišnost lze však překlenout aplikací eurokonformního výkladu, kterým bude dosaženo, že význam transponovaného předpisu bude v souladu s požadavky směrnice o elektronickém obchodu.[4]

Zásadní pro právní jistotu poskytovatele hostingových služeb je dále skutečnost, že právní úprava bezpečných přístavů (jak v tuzemské, tak v komunitární úpravě) výslovně určuje, že poskytovatelé hostingových služeb nejsou povinni dohlížet na obsah jimi přenášených nebo ukládaných informací, ani aktivně vyhledávat skutečnosti a okolnosti poukazující na protiprávní obsah informace. Explicitní vyloučení povinnosti dohledu v právní úpravě odpovědnostních režimů ISP je reakcí na skutečnost, že efektivní kontrola je vzhledem k objemu dat, počtu uživatelů a technologickým možnostem zastírání pravého obsahu informace zpravidla nemožná.

Z pohledu vyloučení odpovědnosti za obsah a jednání uživatelů hostingových služeb je kritické ust. § 5 ZSIS, podle něhož poskytovatel hostingových služeb odpovídá vždy za obsah uložených informací v případě, že vykonává přímo nebo nepřímo rozhodující vliv na činnost uživatele.

Vyloučení odpovědnosti dle § 5 ZSIS se tedy vztahuje výhradně na služby technického, automatizovaného a pasivního charakteru, nikoli na aktivní služby. Pro poskytovatele internetových služeb je proto zásadní udržet své služby v pasivním režimu, a nevystavit se tak hrozbě odpovědnosti za zpracovávaný obsah. 

Podmínky pasivního přístupu pro dosažení a udržení bezpečného přístavu 

Právě rozlišení mezi pasivním a aktivním přístupem poskytovatele je přitom často řešenou a obtížnou otázkou. Otázka setrvání v pasivním režimu je obecně nejpalčivější pro poskytovatele hostingových služeb. Zbývající ISP zmiňovaní v ZSIS – pros­tý přenos (mere conduit) a ukládání do vyrovnávací paměti (caching) – jsou totiž pasivní ze samotné své podstaty. Ve vztahu k těmto poskytovatelům hostingových služeb je přitom nezbytné důsledně rozlišovat, zda:

a) poskytovatel hostingových služeb vystupuje pasivně a pouze vytváří technické podmínky a rámec nezbytný pro fungování služby, a spadá tak do zvláštního odpovědnostního režimu; nebo zda

b) poskytovatel hostingových služeb vystupuje natolik aktivně, že tento bezpečný přístav (pro konkrétní případ) ztrácí.

Hostingové služby však ingerenci ze strany poskytovatele umožňují a často jsou tyto ingerence jak pro poskytovatele, tak pro uživatele přínosné a žádané. Této problematice se Soudní dvůr Evropské unie (dále jen „SDEU“) věnuje v několika rozhodnutích, která mohou být vodítkem k posouzení charakteru poskytovaných služeb. 

Příklad první: odpovědnost provozovatele internetového tržiště 

Nezbytnost pasivního přístupu dovodil SDEU ve své rozhodovací praxi např. v rozsudku ve věci L’Oréal SA a další v. eBay International AG a další (C-324/09).[5] Z tohoto rozsudku jasně vyplývá, že pro vyloučení odpovědnosti za obsah nesmí poskytovatel hrát aktivní roli takové povahy, že by bylo možné konstatovat, že uložená data zná či kontroluje.

V posuzovaném případě vytýkala společnost L’Oréal (globálně působící společnost vyrábějící kosmetické přípravky) společnosti eBay (aukční portál a provozovatel internetového tržiště), že se účastní porušování práv společnosti L’Oréal z ochranných známek. Přestože se porušování ochranných známek dopouštěli uživatelé tohoto elektronického tržiště, dle společnosti L’Oréal nesla část odpovědnosti i společnost eBay.

Společnost eBay se měla provinit mj. tím, že v rámci placené služby optimalizace pro vyhledávače na internetu (služba AdWords společnosti Google) nakoupila klíčová slova odpovídající názvům ochranných známek společnosti L’Oréal a směrovala své uživatele k výrobkům porušujícím práva společnosti L’Oréal. K porušování následně mělo docházet neautorizovaným prodejem výrobků, které byly určeny k prodeji ve třetích zemích, spotřebitelům v EU (paralelní dovoz), a také prodejem padělků.

Soudní spor mezi společnostmi L’Oréal a eBay probíhal ve Velké Británii a tamní soud si vyžádal stanovisko SDEU k několika předběžným otázkám s cílem upřesnit některé aspekty týkající se odpovědnosti provozovatele online tržiště.

Soudní dvůr EU judikoval, že poskytuje-li provozovatel pomoc spočívající zejména v optimalizaci prezentace nabídek k prodeji online nebo propagaci těchto nabídek, nezaujímá neutrální postavení, naopak hraje aktivní roli takové povahy, že by bylo možné konstatovat, že data týkající se těchto nabídek zná nebo kontroluje. V takovém případě se poskytovatel nemůže dovolávat výjimky v oblasti odpovědnosti stanovené v čl. 14 odst. 1 směrnice o elektronickém obchodu. 

Příklad druhý: provozovatel systému placené optimalizace pro internetové vyhledávače 

K odpovědnosti provozovatele systému placené optimalizace pro internetové vyhledávače (vyhledávání dle klíčových slov) se vyjádřil SDEU v odpovědi na předběžnou otázku německého, resp. francouzského soudu ve věci Google France SARL a Google INC. v. Louis Vuitton Malletier SA a další.[6]

V právním sporu bylo ze strany žalobců tvrzeno, že při užívání vyhledávače společnosti Google se při zadání výrazů tvořících jejich ochranné známky uživateli v kolonce „sponzorované odkazy“ objevovaly odkazy na internetové stránky nabízející napodobeniny výrobků žalobců. Dále společnost Google nabízela inzerentům možnost výběru nejen klíčových slov odpovídajících ochranným známkám žalobců, ale také těchto klíčových slov ve spojení s výrazy evokujícími napodobení, jako jsou slova „imitace“ a „napodobenina“. Žalobci se v žalobách proti společnosti Google domáhali rozhodnutí, že společnost Google poškodila jejich ochranné známky.

SDEU ve svém rozhodnutí deklaroval, že optimalizace pro vyhledávače (pozn.: nikoli však vyhledávač samotný) naplňuje definiční znaky služby informační společnosti, takže na poskytovatele takové služby se vztahuje zvláštní odpovědnostní režim dle směrnice o elektronickém obchodu.

Omezení odpovědnosti se v tomto případě podle SDEU použije za podmínky, pokud poskytovatel optimalizace pro vyhledávače nehrál při poskytování služby takovou aktivní roli, že by bylo možné konstatovat, že uložená data poskytovatel a priori či ex post kontroluje, či dokonce zná jejich obsah. V případě, že takovou roli nezastával (tzn., pokud vykonával pouze činnosti čistě technického, automatického a pasivního charakteru), nemůže takový poskytovatel být odpovědný za data, která uložil na žádost inzerenta. Výjimkou, kterou SDEU uvedl, je případ, kdy poté, co by se poskytovatel dozvěděl o protiprávním charakteru těchto dat nebo jiných činností tohoto inzerenta, by předmětná data neprodleně neodstranil nebo k nim neznemožnil přístup.

Pouhá okolnost, že optimalizace pro vyhledávače je placená, ani to, že provozovatel stanoví způsoby odměňování, nemůže mít podle SDEU automaticky za následek, že se na daného poskytovatele nebudou vztahovat stanovené podmínky pro vyloučení odpovědnosti.

Shoda mezi vybraným klíčovým slovem a vyhledávaným výrazem zadaným uživatelem internetu nestačí sama o sobě k tomu, aby se mělo za to, že společnost Google zná nebo kontroluje data, která do jejího systému zadali inzerenti a která byla uložena do paměti na její server.

Podstatná pro určení odpovědnosti poskytovatele služby je podle SDEU analýza role, kterou poskytovatel systému placené optimalizace pro vyhledávače hraje při vypracování obchodního sdělení připojeného k reklamnímu odkazu nebo při stanovení či výběru klíčových slov. 

Uhájení pasivního přístupu ISP k obsahu uživatelů 

Z výše uvedené rozhodovací praxe SDEU je zřejmé, že linie mezi posouzením přístupu ISP jako aktivního či pasivního je poměrně tenká a ne zcela jasně rozeznatelná. Naprostá většina služeb hostingových společností svoje služby často mimo základní rámec (tedy ukládání uživatelského obsahu) obohacuje o další funkcionality, především pak sloužící ke správě, úpravám a sdílení nahraného obsahu, čímž zvyšuje hodnotu těchto služeb pro uživatele.

Např. služby spočívající v ukládání a zpřístupňování videa (YouTube, Vimeo a další) mají implementované mechanismy pro manipulaci s ukládaným obsahem (poskytují uživatelům možnost nahrané video stříhat a upravovat, samy video převádějí do vhodného formátu a rozlišení apod.). Existence těchto nástrojů ve službě, jakkoli sofistikovaných, však nepředstavuje kontrolu poskytovatele nad obsahem (pokud samozřejmě tyto činnosti nevykonávají manuálně zaměstnanci poskytovatele). Na druhou stranu internetové služby založené na zpřístupňování obsahu uživatelů mohou mít implementované mechanismy, které zajišťují dohled poskytovatele nad ukládaným obsahem a jejich využitím se ISP aktivním stát může. Samotní poskytovatelé zmíněných video služeb např. mohou manuálně třídit videa do žánrů, řada blogovacích platforem vyžaduje schválení příspěvku nebo dokonce umožňuje rozhodnout, zda daný příspěvek vůbec publikovat. V takovém případě je již nezbytné přístup ISP považovat za aktivní.

Je proto třeba důsledně rozlišovat, jakou roli v působení na uživatelský obsah poskytovatel hraje. Není možné vytrhnout z kontextu jeden ze závěrů rozhodnutí L’Oréal v. eBay stanovující, že poskytovatel hraje aktivní roli vůči konkrétnímu obsahu v situaci, kdy provádí optimalizaci prezentace obsahu, bez přihlédnutí ke skutkovým okolnostem tohoto rozhodnutí. Aby byl poskytovatel posouzen vůči konkrétnímu obsahu jako aktivní, musí být z činnosti poskytovatele zřejmé, že data uložená v rámci této činnosti zná nebo je kontroluje. Pokud společnost eBay registrovala vybraná klíčová slova pro optimalizaci vyhledávače, musela pochopitelně vědět, jaká slova má registrovat, tedy jaký obsah se na jejích stránkách nachází.

Pod aktivní přístup ISP vůči konkrétnímu obsahu tedy nespadá jakákoli interference ISP s obsahem. Funkcionality umožňující uživatelům filtrovat obsah např. dle druhu souboru, jeho velikosti či doporučovat nejpopulárnější obsah na základě frekvence stahování, mohou fungovat bez toho, aby poskytovatel znal či kontroloval tento obsah – pro funkci těchto služeb stačí pouhá znalost některých parametrů obsahu, které lze hodnotit automatizovanými nástroji bez ingerence poskytovatele. Mezi takové služby můžeme řadit i automatizovaný bezpečnostní software, jako jsou antiviry či případné automatizované filtry protiprávního obsahu.

Na základě výše uvedeného je tak možné dovodit, že přístup ISP k obsahu je třeba posuzovat ve vztahu ke každé jednotlivé činnosti (informaci) zvlášť, nikoli v rámci subjektu obecně či služby jako celku. Zatímco některé části obsahu (soubory) mohou být ze strany ISP manuálně zpracovány a vůči nim vystupuje v pozici aktivního poskytovatele, ve zbytku si ISP zachová odpovědnostní režim bezpečného přístavu. Jako příklad může sloužit provozovatel internetového zpravodajství. Zatímco zpravodajské články, které bude poskytovatel psát, vybírat a následně zveřejňovat, nebudou pod režim bezpečného přístavu spadat, prostor pro komentáře, které vkládají uživatelé stránek a které poskytovatel neschvaluje či nijak neupravuje, již zvláštního odpovědnostního režimu požívat budou. Stejně tak ani situace, kdy poskytovatel úložiště k některým částem obsahu (např. k informacím uvedeným na domovské stránce apod.) vystupuje aktivně, a priori nepůsobí ztrátu bezpečného přístavu k dalším funkcionalitám.

Tenká hranice mezi čistě automatizovaným filtrováním obsahu a filtrováním zakládajícím aktivní postavení ISP ve vztahu ke konkrétnímu obsahu však budí u odborné veřejnosti obavu, že zavádění některých filtračních software může způsobit nebezpečí ztráty bezpečného přístavu.[7] Nadto je třeba připomenout, že zavádění těchto filtrovacích software závisí výlučně na dobrovolnosti ISP a česká právní úprava explicitně vylučuje uložení povinnosti ISP tyto prostředky zavádět.[8] 

Závěr 

Služby informační společnosti, nebo též internetové služby, jsou služby technického, automatizovaného charakteru. Často však nespočívají v pouhém přesunutí hardwarové infrastruktury z uživatele na poskytovatele, ale zahrnují také vytvoření a provoz prostředí, které utváří výslednou podobu služby a umožňuje její odlišení od konkurence a dosažení většího přínosu pro konečného spotřebitele. Mechanismy, které sofistikované internetové služby využívají, jsou ze své podstaty automatické, a to i přesto, že výsledky jejich působení mohou evokovat dojem lidského zásahu. Vždy však platí, že aktivní postavení má ve vztahu ke konkrétnímu obsahu ISP pouze v případě, kdy z jeho ingerence k takovému obsahu vyplývá, že kontroluje zpracovávaný obsah nebo má vliv na to, jaký konkrétní obsah uživatelé budou na službu vkládat. 

Autor, advokát a rozhodce, je členem katedry obchodního práva na Fakultě právnické Západočeské univerzity v Plzni a autorem komentářů k zákonu o některých službách informační společnosti a k zákonu o kybernetické bezpečnosti.