Blokování hazardu: jak měl správně vypadat zákon

Proti zákonu č. 186/2016 Sb. se strhla poměrně velká nevole odborné veřejnosti, reprezentovaná především iniciativou Přichází cenzor. Výsledkem je ústavní stížnost, přesněji tedy Návrh na zahájení řízení o zrušení části zákona č. 186/2016 Sb., o hazardních hrách. Stížnost však nemá odkladný účinek a její výsledek je nejistý.

V průběhu ledna vydalo Ministerstvo financí dlouho očekávaný metodický pokyn, který, ač je právně nezávazný, vysvětluje, jak si ministerstvo, coby předkladatel zákona, vykládá jeho text. Zásadním problémem je fakt, že některé části metodiky jsou v přímém rozporu s textem zákona. Proto jsem se rozhodl metodiku okomentovat a na základě její analýzy ukázat, jak měl správně zákonodárce napsat příslušný paragraf, pokud si přál dosáhnout toho stavu, který je v metodice popsán. Záměrně vynechávám z diskuze další otázky, jako například, zda je takovýto paragraf vůbec nutný. Dost na tom, že ministerstvo dalším odůvodňováním nutnosti opatření zabralo hned půl druhé stránky. A to i přesto, že cílová skupina pokynu by na této ploše raději viděla specifikaci formátu seznamu nepovolených her.

Kdo je poskytovatel připojení k internetu na území České republiky?

Tuto otázku si klade odborná veřejnost už od prvního zveřejnění návrhu zákona. Metodický pokyn uvádí jasně, že za poskytovatele připojení považuje podnikatele v elektronických komunikacích podle §13 zákona 127/2005 Sb. (zákon o elektronických komunikacích). Pak je otázka, proč zákonodárce namísto již zavedených pojmů v odkazovaném zákoně zavádí pojmy zcela nové a nesrozumitelné. Už jen to, že zákon o elektronických komunikacích rozlišuje pojmy připojení a přístup, přičemž jako připojení se rozumí zřízení a zprovoznění koncového bodu sítě, zatímco provozování daného bodu je pak přístupem (§ 40).

Autor: AT&T

„Dobrý den, přišli jsme vám připojit internet. Jo a taky vám musíme zablokovat stránky s nepovolenými hazardními hrami.“

Je tedy naprosto nesmyslné chtít po osobě, která zákazníkovi do domu natáhla dráty, aby zamezovala nějakému přístupu, protože tím natažením drátu role osoby skončila a nadále nemá žádnou šanci ovlivnit uživatelovo další nakládání s koncovým bodem sítě. Metodický pokyn tento terminologický problém řeší jednou šroubovanou větou, která s pojmy připojení a přístup nakládá, jako by to byla synonyma.

Poskytovateli připojení k internetu se rozumí ty subjekty, které jsou dle zákona č. 127/2005 Sb., zákon o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů, oprávněny podnikat v elektronických komunikacích, a to poskytovat službu přístupu k internetu.

Aby to ale nebylo všechno tak jednoduché, obsahuje metodický pokyn v definici poskytovatele připojení poslední větu, doplněnou poznámkou pod čarou:

Rovněž se za poskytovatele připojení k internetu považují ty subjekty, které služby přístupu k internetu fakticky poskytují, ale bez příslušného oprávnění. Pod čarou: Jedná se tak o subjekty, které se mohou dopouštět správního deliktu dle ustanovení § 118 odst. 1 písm. a) zákona o elektronických komunikacích tím, že podnikají v oblasti elektronických komunikací v rozporu s § 8 tohoto zákona.

Názory, jak tuto informaci chápat, se zásadním způsobem liší mezi mým laickým výkladem a výkladem některých právníků. Dle mého výkladu je věta samostatně funkční i bez poznámky pod čarou a říká, že každý, kdo fakticky poskytuje přístup k internetu (třeba i firma svým zaměstnancům, restaurace hostům), se v kontextu tohoto zákona považuje za poskytovatele připojení. Názor několika právníků je však přesně opačný, totiž, že význam věty je třeba posuzovat společně s poznámkou pod čarou a tedy že se pravidla vztahují pouze na podnikatele v elektronických komunikacích, a to včetně těch, kteří porušují zákon 127/2005 Sb. tím, že nejsou registrováni.

Co je to internetová stránka?

Pojem internetová stránka není v odborných kruzích používán, lidově jde o synonymum pojmu webová stránka, tedy stránka služby World Wide Web. Tato služba je naopak velmi dobře známa, její základní specifikací je, že jde o hypertextovou stránku v jazyce HTML, která je přístupná pomocí internetového protokolu HTTP, resp. HTTPS, na základě unikátního indentifikátoru URL.

A v tom je ta potíž. Pokud by mělo ministerstvo skutečně vést seznam nepovolených webových stránek, znamenalo by to vést seznam URL identifikátorů. Něco takového ostatně minulý rok ministerstvo tvrdilo. Blokování konkrétních URL identifikátorů je možné pouze v nešifrované variantě s protokolem HTTP. Při použití šifrovaného protokolu HTTPS, který je současným standardem, není možné blokovat jinak než na úrovni doménových jmen.

Ani blokování konkrétních URL na nešifrovaném HTTP není úplně snadné. Příkladem budiž incident Wikipedie ve Velké Británii, jejíž dvě URL se dostaly na seznam stránek šířících dětskou pornografii. Důsledkem byla problematická dostupnost celé Wikipedie a zablokování editací z Velké Británie z důvodu přesměrování veškerého provozu přes několik málo transparentních proxy serverů. Nutno dodat, že dnešní (poměrně nákladné) technologie blokování založené na hluboké inspekci (Deep Packet Inspection) dokáží tento problém eliminovat; vzhledem k tomu, že Wikipedie nyní používá výlučně šifrovaný přístup, by ale ani takovéto technologie nebyly účinné.

Ministerstvo svůj přístup postupně přehodnotilo. Ještě v říjnu 2016, v reakci na ústavní stížnost, ukazovalo jako příklad adresy jednak doménové jméno, ale i doménové jméno spolu s URL cestou:

Příkladem tak může být povinnost zablokovat internetovou stránku s adresou uvedenou například ve formě: www.internetovehazardnihry.cz nebo  www.internetovehazardnihry.cz/casino/blackjack.

V současné podobě metodického pokynu již definuje ministerstvo adresu internetové stránky čistě jako doménové jméno, takto:

Adresy internetových stránek, na nichž je provozovaná internetová hra v rozporu s § 7 odst. 2 písm. b) ZHH, budou identifikovány doménovým jménem, a to doménou I. a II. řádu a budou tedy zveřejňovány v následující podobě:

domenadruhehoradu.domenaprvnihoradu

Příklad: nepovolenainternetovahazardnihra.cz

Blokujte DNS jména, ne IP adresy

Metodický pokyn se také snaží dát odpověď na to, jakým způsobem má být nevhodný obsah blokován:

V současné době existuje řada technických řešení, které umožňují blokovat internetové stránky. Jedná se například o blokování na úrovni DNS, využití aplikačního firewallu, stavového a nestavového firewallu, popř. různá hardwarová technická řešení. Je však možné zvolit pouze takové řešení, jehož použitím nedojde k zablokování obsahu domén jiných držitelů. S ohledem na uvedené je nutné vyloučit použití blokování na úrovni IP adres.

Blokování na úrovni DNS (Domain Name Service) lze považovat za jedno z vhodných opatření, jehož použitím ve vztahu k internetovým stránkám uvedeným na Seznamu bude splněna povinnost dle ustanovení § 82 ZHH.

Je chvályhodné, že ministerstvo předem vylučuje blokování na úrovni IP adres, neboť takovouto činností by mohlo dojít k zablokování obsahu domén jiných držitelů. Ministerstvo zde ovšem poněkud zapomíná, že § 82 v platném znění nařizuje blokování internetových stránek, zatímco zablokováním doménového jména dojde k zablokování všech internetových služeb provozovaných na daném doménovém jménu. A i když přesně nevíme, co má být myšleno pojmem internetová stránka, je zcela evidentní, že tím není například e-mailová zpráva. Přesto se po blokování na úrovni DNS stanou takové zprávy nedoručitelnými.

Účinnost blokování DNS v praxi

Metodický pokyn také nijak nezohledňuje situaci, kdy bude pod jedním doménovým jménem přístupný obsah více nezávislých subjektů. Takovým příkladem je třeba doménové jméno a248.e.akamai.net , které je vstupní branou do celé CDN sítě Akamai, která odbavuje nejméně 15 % webového obsahu.

Kdy blokování ukončit?

Dalším problematickým místem zákona, které je však v porovnání s předchozími spíše kosmetickou vadou, je situace, kdy má dojít k ukončení blokace. Zákon dává poskytovatelům povinnost blokování spustit do 15 dnů. O ukončení povinnosti blokování se vůbec nezmiňuje. Jak tvrdí ústavní stížnost:

Pokud by přitom poskytovatel „blokoval“ určitou internetovou stránku byť jen krátký časový úsek poté, co objektivně pominuly zákonné důvody pro její „blokaci“, bude se vystavovat riziku vznášení právních nároků ze strany provozovatele této internetové stránky, majitele domény, provozovatele internetové hazardní hry, případně dalších dotčených osob, např. nároku na náhradu škody spočívající v ušlém zisku.

Revize paragrafu 82

Na základě předchozích poznámek jsem sestavil revidovanou verzi § 82. Tato verze vychází z aktuálního metodického pokynu a na rozdíl od aktuálně platného znění zákona jasně definuje, kdo je povinen blokování provádět a co přesně má být zablokováno. Přitom stále ponechává volnou ruku ohledně volby způsobu, jak má být blokování technicky provedeno.

§ 82 Blokace nepovolených internetových her

(1) Poskytovatelé připojení k internetu na území České republiky Podnikatelé v elektronických komunikacích, poskytující veřejně dostupnou službu přístupu k internetu, podle zvláštního předpisu² (dále jen „poskytovatelé přístupu“), jsou povinni zamezit v přístupu k internetovým stránkám doménovým jménům uvedeným na seznamu internetových stránek doménových jmen s nepovolenými internetovými hrami (dále jen „seznam nepovolených internetových her“).

(2) Na seznam nepovolených internetových her se zapíše internetová stránka doménové jméno, na níž němž je provozovaná internetová hra v rozporu s § 7 odst. 2 písm. b).

(3) Povinnost podle odstavce 1 jsou poskytovatelé připojení k internetu poskytovatelé přístupu povinni splnit ve lhůtě 15 dní ode dne zveřejnění internetové stránky doménového jména v seznamu nepovolených internetových her.

(4) Zamezení v přístupu podle odstavce 1 jsou poskytovatelé přístupu povinni odstranit ve lhůtě 15 dní od zveřejnění vymazání doménového jména v seznamu nepovolených internetových her.

Kde a jak zveřejňovat seznam?

O formálních náležitostech vedení seznamu nepovolených her hovoří § 84. Kromě již probíraného nepřesného pojmu internetová stránka je zde ještě přinejmenším problém, že zákon nestanoví, kde přesně má být seznam zveřejněn. Protože uznávám, že věci jako URL by neměly být součástí zákona, bylo by vhodné inspirovat se v jiných zákonech (třeba tom o EET) a přidat zmocnění pro vyhlášku:

(4) Ministerstvo zveřejňuje na svých internetových stránkách ze seznamu nepovolených internetových her údaje podle odstavce 2 písm. a) a b). Údaje podle odstavce 2 písm. a) a b) zveřejňuje Ministerstvo způsobem umožňujícím dálkový přístup.

…

(6) Způsob zveřejnění seznamu nepovolených internetových her a jeho formát stanoví Ministerstvo financí vyhláškou.

Výsměch místo formátu

Daná vyhláška by pak měla přesně specifikovat, jak bude seznam zveřejněn, jakých hodnot mohou které položky nabývat a jaký význam je jim přisouzen. Opět není třeba chodit daleko, stačí se inspirovat vyhláškou definující formát kódů pro EET.

Není nutné dodávat, že je potřebné, aby šlo o otevřená data. Záměrně nepoužívám termín strojově zpracovatelná data, protože ten je náchylný ke zneužití (jakákoli počítačová data jsou strojově zpracovatelná, protože počítač je stroj). Metodický pokyn je přesně takovým zneužitím:

Údaje ze Seznamu budou zveřejňovány v otevřeném a strojově čitelném formátu, a to ve formě dokumentu .pdf s textovou vrstvou. … V případě odstranění údajů ze Seznamu, ve smyslu opaku zveřejnění údajů na Seznamu, dojde k překrytí (začernění) části příslušného řádku dokumentu .pdf tak, aby je nebylo možné přečíst.

Ne, dokument .pdf s textovou vrstvou, ve kterém se začerňuje (jak?), vážně není otevřenými daty a toto rozhodně není úplná specifikace formátu. Je to spíše výsměch a projev neschopnosti anebo zvůle ministerstva. Stejného ministerstva, které v jiném svém projektu, EET, nemá problém zveřejnit detailní technickou specifikaci, včetně ukázek formátů. Proč systém EET taky nepřijímá účtenky v otevřeném a strojově čitelném formátu .pdf s textovou vrstvou?

Strach, nejistota, pochyby

Co s takovým zákonem má dělat ten, na koho je namířený? Možností je několik:

• Ignorovat zákon a řídit se metodickým pokynem. Tato cesta je nejbezpečnější z hlediska možného postihu ze strany Ministerstva financí, může však vyvolat postih z jiné strany, pokud dojde k zablokování i něčeho jiného, než jen internetových stránek.
• Ignorovat metodický pokyn a řídit se striktně zákonem. Je-li dotyčný pouze poskytovatelem přístupu k internetu, může konstatovat, že se ho povinnost netýká, pokud zároveň poskytuje i službu připojení k veřejné telekomunikační síti, může přidat do předávacího protokolu informaci o zákazu přístupu na vyjmenované internetové stránky. Nebo třeba na datovou zásuvku (koncový bod sítě) připevnit visačku podobnou těm, co se za druhé světové války objevovaly na rozhlasových přijímačích. Tento postup vyžaduje jistou dávku odvahy, neboť bude s velkou mírou pravděpodobnosti považován za správní delikt s pokutou až 1 000 000 Kč (§ 123). Ani u soudu takový postup nemá předem zajištěnu výhru, protože soud nefunguje jako počítač a kromě textu zákona zohledňuje i další okolnosti.
• Implementovat minimální opatření v souladu s metodickým pokynem, zároveň ale tak, aby bylo jisté že není blokováno nic jiného, než webové stránky. Tedy pro každé doménové jméno, které se na seznamu objeví, nějakým způsobem zkontrolovat zda na něm není provozovaná i jiná služba. Pokud ano, dá se povinnost blokování považovat za splněnou, neboť „Právnická osoba za správní delikt neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možné požadovat, aby porušení právní povinnosti zabránila.“ (§ 128) Protože je téměř nemožné exaktně ověřit, které služby jsou na daném doménovém jménu provozovány, dá se použít i opačná logika – tedy jméno nejprve zablokovat a teprve z případných stížností zákazníků zjistit, zda požadují funkčnost nějaké jiné internetové služby na daném doménovém jménu.

Pamatuj, že návštěva internetových stránek s nepovolenými hazardními hrami je zapovězena!

Předpokládám, že většina poskytovatelů zvolí první možnost a implementuje jednoduché blokování na úrovni rekurzivního DNS resolveru. Seznam nepovolených hazardních her bude přinejmenším v první fázi nutné zadávat ručně, protože dokud nebude k dispozici aspoň nějaký demonstrační dokument, kde bude vidět jak přidaný, tak i začerněný záznam, jakákoli automatizace by mohla být velmi nebezpečná. Je jistě pozitivní, že metodický pokyn nepožaduje provádění žádných opatření proti obcházení blokace. Není tedy nutné, ani žádoucí, blokovat přístup k DNS resolverům třetích stran nebo dokonce DNS provoz unášet.

Jak v praxi realizovat vlastní blokování v DNS serveru? O tom někdy příště.