Wokół nauki
28 Listopada
Rys. Sławomir Makal
Opublikowano: 2024-11-28

Suwerenność cyfrowa jako problem badawczy

Aktualność debaty na temat kształtu gospodarki cyfrowej oraz zapewnienia międzynarodowego pokoju i bezpieczeństwa w cyberprzestrzeni, krystalizującej się wokół pojęcia suwerenności cyfrowej, czyni tę koncepcję oraz ujęte w niej obecne i przyszłe regulacje cyberbezpieczeństwa oraz gospodarki cyfrowej niezwykle ciekawym przedmiotem badań.

W ostatniej dekadzie problematyka cyberbezpieczeństwa urosła do rangi jednego z głównych wyzwań dla społeczności międzynarodowej. Światowa gospodarka cyfrowa rozwija się w niezwykle szybkim tempie; jej wartość w 2022 roku osiągnęła poziom 11,5 biliona dolarów, co stanowi około 15,5% globalnego PKB. Szacuje się, że do 2025 roku udział ten wzrośnie do 24,3% światowego PKB. Ta dynamika rozwoju gospodarki cyfrowej sprawia, że kwestie cyberbezpieczeństwa stają się kluczowe dla stabilności ekonomicznej i społecznej. Niestety, wraz z postępującą cyfryzacją i rosnącym uzależnieniem od technologii informacyjno-komunikacyjnych (TIK) pojawiają się nowe zagrożenia zarówno ze strony państw, jak i cyberprzestępców.

Jednym z kluczowych wyzwań jest wykorzystanie TIK przez państwa do realizacji swoich celów geopolitycznych. Dzieje się to zarówno w formie sponsorowanych przez państwa cyberataków, mających na celu szpiegostwo przemysłowe, sabotaż infrastruktury krytycznej czy wpływanie na procesy demokratyczne innych krajów, jak i w formie wykorzystania dominacji technologicznej w obszarach takich jak produkcja układów scalonych, technologia 5G i 6G, cloud computing czy sztuczna inteligencja.

W obliczu tych wyzwań coraz większego znaczenia nabiera pojęcie suwerenności cyfrowej. Weszło ono do europejskiego dyskursu polityczno-gospodarczego pod koniec drugiej dekady XXI wieku, lecz ma swoją genezę zarówno w myśli teoretyków chińskich, jak i francuskich. W dużym uproszczeniu termin „suwerenność cyfrowa” odnosi się do zdolności państw do samodzielnego kształtowania i egzekwowania polityk oraz regulacji w obszarze technologii cyfrowych, zgodnie z własnymi potrzebami społecznymi, ekonomicznymi i politycznymi. Pojęcie to obejmuje kilka kluczowych aspektów: kontrolę nad danymi, zdolność do ochrony infrastruktury cyfrowej przed działaniami innych państw, niezależność technologiczną czy wprowadzenie regulacji i standardów w zakresie technologii cyfrowych.

Nie będzie przesadą twierdzenie, iż debata nad suwerennością cyfrową jest w zasadzie debatą nad kształtem międzynarodowych relacji gospodarczych, politycznych i wojskowych w najbliższych latach i dekadach. O zasadności tej tezy świadczy chociażby fakt, iż ogłoszona w maju 2024 r. międzynarodowa strategia dotycząca cyberprzestrzeni i polityki cyfrowej Stanów Zjednoczonych (U.S. International Cyberspace and Digital Policy Strategy) uczyniła przeciwstawienie się tendencjom „suwerenistycznym” i zastąpienie ich „cyfrową solidarnością” jednym z centralnych punktów swej polityki w nadchodzących latach.

Aktualność debaty na temat kształtu gospodarki cyfrowej oraz zapewnienia międzynarodowego pokoju i bezpieczeństwa w cyberprzestrzeni, krystalizującej się wokół pojęcia „suwerenności cyfrowej”, czyni tę koncepcję oraz ujęte w niej obecne i przyszłe regulacje cyberbezpieczeństwa oraz gospodarki cyfrowej niezwykle ciekawym przedmiotem badań. W ramach mojego projektu „Suwerenność 2.0 – suwerenność cyfrowa w świetle prawa międzynarodowego”, finansowanego przez Narodowe Centrum Nauki w programie Sonata 17, poszukuję odpowiedzi na pytanie, jak wspomniana debata oraz regulacje przyjmowane przez państwa w celu rzekomego wzmocnienia własnej „suwerenności cyfrowej”, wpływają na kształt i rozumienie pojęcia „suwerenności”, centralnego pojęcia całego systemu prawa międzynarodowego.

Władza państwa kończy się na granicach

Zanim rozwinę kwestię, jak digitalizacja gospodarki oraz uzależnienie coraz szerszych aspektów działalności ludzkiej, włącznie ze sprawowaniem podstawowych funkcji państwowych, od technologii informacyjno-komunikacyjnych wpływa na rozwój podstawowych zasad prawa międzynarodowego, warto przybliżyć czytelnikom, jak prawo międzynarodowe dotychczas regulowało podstawowe zagadnienia porządku międzynarodowego i stosunków między państwami. Otóż podstawową cechą prawa międzynarodowego jako systemu prawnego jest występowanie państw jako suwerennych podmiotów, które ten system prawny tworzą, a zarazem są nim związane. Przyjęta koncepcja suwerennej równości państw (pod względem prawnym, jeśli nie faktycznym) znajduje swoje umocowanie w Karcie Narodów Zjednoczonych i zakłada, iż na obszarze swego terytorium każde państwo ma wyłączną kompetencję do stanowienia i egzekwowania porządku prawnego, zaś w swych stosunkach wzajemnych państwa będą wzajemnie szanowały swoje sfery ekskluzywnej kompetencji. Karta Narodów Zjednoczonych oraz prawo zwyczajowe chronią tę sferę ekskluzywnej kompetencji państwa przed naruszeniem szeregiem norm, do których możemy zaliczyć choćby zakaz użycia siły przeciwko integralności terytorialnej lub niezawisłości politycznej któregokolwiek państwa, zakaz interwencji w sprawy wewnętrzne innego państwa czy też zasady dotyczące jurysdykcji państw.

W epoce przedcyfrowej zakres ekskluzywnej kompetencji państwa mógł być określony stosunkowo łatwo w oparciu o granice terytorium znajdującego się pod władztwem danego państwa. Władza Rzeczypospolitej Polskiej kończy się na jej granicach, a działanie władcze państwa poza swymi granicami, na terytorium innego państwa, jest co do zasady zabronione bez zgody danego państwa. Nawiązując do głośnego ostatnio medialnie przykładu: przekroczenie granicy państwowej przez policję w celu przewiezienia na terytorium innego państwa migrantów może naruszyć suwerenność tego drugiego państwa, jeśli nie wyraziło ono na taką akcję uprzednio zgody. Sprawy te komplikują się natomiast w świecie cyfrowym.

Podam kilka przykładów takich komplikacji. Jeśli CERT Polska stwierdzi, iż do cyberataków przeciwko terytorium Rzeczpospolitej wykorzystywane są serwery znajdujące się poza granicami naszego kraju, czy służby polskie mają prawo dokonać czynności na tych serwerach w celu zebrania dowodów albo unieszkodliwienia serwerów, jeżeli byłoby to jedyną możliwością zatrzymania ataku? Jaki wpływ na suwerenność państwa ma fakt, iż obce państwo, wykorzystując dominację technologiczną swych globalnych korporacji, może za pośrednictwem tych firm uzyskać dostęp do danych przechowywanych na terytorium innego kraju i należących do jego obywateli?

To właśnie ilustrowany powyższymi przykładami fakt zacierania się granic kompetencji państwa w cyberprzestrzeni spowodował, iż wiele państw rozpoczęło poszukiwania rozwiązań faktycznych i prawnych, które mają zapewnić (lub pomóc odzyskać) kontrolę nad „ich” cyberprzestrzenią, tj. infrastrukturą teleinformatyczną znajdującą się na ich terytorium oraz działaniami wykonywanymi z jej wykorzystaniem. W tych staraniach tkwi esencja poszukiwania przez państwa „suwerenności cyfrowej”.

Cyberoperacje na terytorium innego państwa

W ramach moich badań analizuję działania państw ku osiągnięciu „suwerenności cyfrowej” w trzech głównych płaszczyznach. Po pierwsze, analizuję starania podejmowane przez państwa w celu ustalenia zasad regulujących prowadzenie cyberoperacji na terytorium innego państwa. Pamiętajmy, iż „klasyczne” prawo międzynarodowe zabrania działań jednego państwa na terytorium drugiego bez jego zgody wyrażonej doraźnie bądź w formie umów międzynarodowych. Tymczasem w odniesieniu do cyberprzestrzeni państwa prowadzą obecnie intensywną dyskusję nad możliwą reinterpretacją tej zasady, mającą na celu uwzględnienie specyfiki cyberprzestrzeni. Niektóre państwa, takie jak Francja, Iran czy państwa Unii Afrykańskiej, uważają, iż zasada suwerenności terytorialnej zakazuje dokonywania czynności w infrastrukturze teleinformatycznej innego państwa bez jego zgody.

Inna grupa państw, wśród nich Polska, uważają, iż „w sytuacji przeprowadzenia nieprzyjaznej operacji w cyberprzestrzeni powodującej poważne negatywne skutki na terytorium państwa, bez względu na to, czy mają one charakter kinetyczny, czy ograniczają się wyłącznie do cyberprzestrzeni, takie działania należy uznać za naruszenie zasady suwerenności” (MSZ, Stanowisko Rzeczypospolitej Polskiej dotyczące zastosowania prawa międzynarodowego w cyberprzestrzeni, 29.12.2022). Warto jednak zauważyć, że o ile stanowisko to obejmuje operacje „powodujące poważne negatywne skutki”, o tyle cyberoperacje niepowodujące bezpośrednich negatywnych skutków dla funkcjonowania systemów teleinformatycznych (np. cyberszpiegostwo, ale również tzw. pre-positioning, czyli prewencyjne umieszczanie złośliwego oprogramowania w infrastrukturze krytycznej przeciwnika), nie naruszałyby według tej wykładni zasady suwerenności.

Drugą analizowaną przeze mnie płaszczyzną jest stosowanie prawa krajowego do danych przechowywanych w chmurze oraz kontrola nad ich wykorzystaniem. Zauważmy, że ze względu na sposób funkcjonowania internetu, dane przechowywane w chmurach obliczeniowych nie muszą wcale być przechowywane na terytorium kraju, z którego pochodzi albo w którym zamieszkuje osoba lub podmiot, do którego te dane należą. Kto posiada konto mailowe w serwisie Gmail lub Outlook, tego dane mogą być przechowywane na serwerach w Irlandii, Luksemburgu lub Stanach Zjednoczonych. Taki stan rzeczy rodzi dwie poważne konsekwencje.

Po pierwsze, krajowe organy ścigania mogą mieć kłopoty w dotarciu do danych koniecznych np. dla wyjaśnienia okoliczności przestępstwa, o ile dane te znajdują się na serwerach za granicą, nawet jeśli dotyczą zdarzenia wyłącznie krajowego. Po drugie, państwa mogą wymagać od podlegających ich jurysdykcji dostawców usług w chmurze wydania danych przechowywanych przez te firmy lub spółki od nich zależne niezależnie od tego, gdzie te dane są przechowywane i do kogo należą. W 2018 r. Stany Zjednoczone przyjęły ustawę Clarifying Lawful Overseas Use of Data Act (CLOUD Act), która zobowiązuje firmy amerykańskie do wydania amerykańskim organom ścigania danych na podstawie nakazu sądowego, niezależnie od tego, gdzie się te dane znajdują. O ile CLOUD Act wprowadza szereg zabezpieczeń mających na celu zagwarantowanie praworządności postępowania oraz ochronę praw człowieka, o tyle już chińska ustawa dotycząca ochrony bezpieczeństwa narodowego z 2019 r., która zobowiązuje chińskie firmy do bezwzględnej współpracy z chińskimi służbami, takich bezpieczników nie zawiera.

Mając na uwadze technologiczną zależność całych sektorów gospodarki, a nawet usług państwowych, od usługodawców amerykańskich (Amazon, Alphabet, Meta, Microsoft, Oracle) i chińskich (Alibaba, Baidu, Tencent), wiele państw staje przed pytaniem, jak chronić dane swoje oraz swoich obywateli i firm. Najbardziej radykalne postulaty płyną w tej materii obecnie z Francji i stanowią trzon francuskiego podejścia do suwerenności cyfrowej (souverainété numerique). Francja wprowadziła do ustawodawstwa krajowego wymóg, aby dane o największej wrażliwości mogły być przechowywane jedynie na terytorium Unii Europejskiej oraz wyłącznie przez podmioty, które są prawnie niezależne od podmiotów pozaeuropejskich. Wymóg ten wyklucza podmioty, które są własnością firm amerykańskich lub chińskich, z możliwości uzyskania najwyższej certyfikacji SecNumCloud 3.2; nie mogą one tym samym przechowywać danych wrażliwych typu danych medycznych, podatkowych itp. Jednocześnie Francja lobbuje za przyjęciem podobnych rozwiązań w ramach budowanego obecnie europejskiego mechanizmu certyfikacji usług w chmurze European Cloud Certification Scheme.

Ostatnim obszarem moich badań jest regulacja globalnego zarządzania internetem. W dużym uproszczeniu: wszystkie mechanizmy, rozwiązania i regulacje decydujące o tym, jak przydzielane są zasoby internetowe (np. rejestry nazw domen, serwery typu root itd.), funkcjonują w oparciu o model „multistakeholder”, czyli współpracy między rządami oraz wielkimi korporacjami internetowymi. Ponieważ jednak w ramach tego modelu ogromny wpływ na podejmowane decyzje mają rząd Stanów Zjednoczonych oraz firmy amerykańskie, państwa takie jak Chiny czy Rosja argumentują, iż zasada suwerennej równości państw wymaga „umiędzynarodowienia” zarządzania internetem. Postulują one zatem, aby zarządzanie internetem przekazać Międzynarodowemu Związkowi Telekomunikacyjnemu, który zajmuje się np. przydziałem frekwencji radiowych dla komunikacji mobilnej.

Nowe możliwości przed naukowcami

We wszystkich opisanych obszarach państwa przyjmują albo postulują przyjęcie regulacji mających na celu zwiększenie „suwerenności cyfrowej”, co z kolei ma wpływ na rozwój traktatowego i zwyczajowego prawa międzynarodowego. Badanie praktyki państw w wymienionych obszarach pozwoli mi zatem zakreślić trendy rozwoju prawa międzynarodowego w XXI w. i odpowiedzieć na pytanie, czym jest państwo suwerenne w świecie cyfrowym.

Opisane powyżej zagadnienia są jedynie krótkim szkicem tematyki niesłychanie złożonej, rozwijającej się dynamicznie i niezwykle fascynującej. Problematyka szeroko rozumianego cyberbezpieczeństwa, czy też – jak w moim przypadku – suwerenności cyfrowej, otwiera przy tym przed naukowcem więcej niż jedną możliwą płaszczyznę działania. Cyberbezpieczeństwo, zarówno w swym aspekcie technicznym, jak i normatywnym, politycznym czy społecznym, jest bowiem wyzwaniem wymagającym kolaboracji wielu podmiotów na wielu płaszczyznach. W przypadku mojej dziedziny – prawa międzynarodowego – przed naukowcami otwiera się możliwość nie tylko teoretycznego zgłębiania i analizowania tematu, lecz również praktycznego wpływania na kształt przyjmowanych rozwiązań.

Podam przykład: w ostatnich latach dwie inicjatywy naukowe miały ogromny wpływ na kształt dyskusji międzynarodowej na temat stosowania prawa międzynarodowego w cyberprzestrzeni – tzw. Podręcznik Talliński (Tallinn Manual 2.0), przygotowany przez grupę naukowców pod kierownictwem prof. Mike’a Schmitta, oraz tzw. Proces Oksfordzki (Oxford Process on International Law Protections in Cyberspace) pod kierownictwem profesorów Dapo Akande i Duncana Hollisa.

Obie inicjatywy poprzez swoją działalność analityczno-doradczą bezpośrednio wpłynęły na kształt międzynarodowej debaty na temat prawa międzynarodowego w cyberprzestrzeni, prowadzonej na łamach Organizacji Narodów Zjednoczonych. Jako członek Procesu Oksfordzkiego miałem przyjemność prezentowania swoich badań i analiz przed doradcami prawnymi różnych państw i uczestniczeniu w ten sposób w debacie międzynarodowej wykraczającej poza mury uczelnianie. Warto zauważyć przy tym, iż naukowcy wielu instytucji uczestniczą jako obserwatorzy bez prawa głosu w obradach ONZ dotyczących wykorzystania technologii informacyjno-komunikacyjnych przez państwa czy też w negocjacjach na temat stworzenia globalnego traktatu o zwalczaniu cyberprzestępczości. Udział świata nauki, wraz z przedstawicielami organizacji pozarządowych oraz globalnych firm technologicznych, w dialogu z państwami otwiera zatem możliwość „bycia w centrum wydarzeń” (co jest niezwykle ważne pod kątem aktualności własnej pracy naukowej), ale również współtworzenia rozwiązań w celu zwiększenia międzynarodowego cyberbezpieczeństwa.

Innym polem aktywności naukowców w zakresie szeroko rozumianego cyberbezpieczeństwa są doradztwo i szkolenia. Zapotrzebowanie na szkolenia i na działalność doradczą dotyczy prawie każdego szczebla działalności gospodarczej i państwowej i ma wymiar globalny. Przykładowo: w obszarze moich zainteresowań badawczych miałem okazję współpracować zarówno z Komisją Europejską, jak i Organizacją Państw Amerykańskich, oferując szkolenia z zakresu cyberdyplomacji i prawa międzynarodowego dla dyplomatów i pracowników administracji państwowej państw OPA. Korzyści z połączenia działalności badawczej i szkoleniowej są w moim przypadku oczywiste: wyniki badań bezpośrednio wpływają na materiał przekazywany podczas szkoleń, a dyskusje z dyplomatami i pracownikami ministerstw dostarczają dalszego materiału badawczego.

Martwi powolne tempo tworzenia programów

Zagadnienia szeroko rozumianego cyberbezpieczeństwa otwierają więc przed polskim naukowcem niezwykle ciekawe pole do działalności badawczo-naukowej i społeczno-politycznej. Na podstawie obserwacji koleżanek i kolegów z innych państw europejskich, ale również azjatyckich, twierdzę, iż w świecie nowoczesnej nauki połączenie obu typów działalności jest nie tylko możliwe, ale wręcz pożądane. W krajach takich jak Holandia, Singapur czy Stany Zjednoczone wymiana między światem akademickim, sektorem prywatnym a sektorem państwowym jest płynna i intensywna. Zaś dobrze rozumiana polityka naukowa państwa wspiera inicjatywy i programy badawcze i zarazem czerpie z ich dokonań na własne potrzeby.

W Polsce dopiero uczymy się tak rozumianej współpracy między poszczególnymi sektorami. Zarówno przed państwem, jak i uczelniami oraz naukowcami jest jeszcze trochę pracy, by w pełni implementować najlepsze wzorce zachodnie. Niektóre uczelnie szybko rozpoznały znaki czasu i podjęły działania. Na przykład krakowska Akademia Górniczo-Hutnicza stworzyła Centrum Cyberbezpieczeństwa, które prowadzi zarówno działalność badawczo-rozwojową, jak i szkoleniową oraz usługową w zakresie cyberbezpieczeństwa. Inne uczelnie wprowadzają cyberbezpieczeństwo jako nowy kierunek studiów lub wprowadzają elementy nauki o cyberbezpieczeństwie do istniejących programów studiów.

W dyscyplinie, którą znam najlepiej, tj. w naukach prawnych, recepcja tematyki cyberbezpieczeństwa pozostawia obraz mieszany. Z jednej strony niesłychanie cieszy coraz częstsze odkrywanie cyberbezpieczeństwa oraz prawa nowych technologii jako zagadnień badawczych przez młodych naukowców. Coraz częściej widać prace magisterskie czy doktorskie dotyczące problematyki cyberbezpieczeństwa; pojawiają się również projekty badawcze. Niesłychanie ważne jest przy tym, by polscy naukowcy nie ograniczali się do krajowych programów wspierania badań, lecz w większym stopniu korzystali również z programów europejskich i międzynarodowych. Z drugiej strony jednak martwi nieco powolne tempo adopcji problematyki cyberbezpieczeństwa do programów studiów. Uczelnie prywatne radzą sobie pod tym względem lepiej od uczelni państwowych, ale w skali ogólnokrajowej dzieje się to jednak zbyt wolno. Przebywając na stażu w Holandii, miałem okazję obserwować, jak szybko renomowane uczelnie mogą stworzyć dla studentów program badawczo-naukowy obejmujący zagadnienia cyberbezpieczeństwa i nowych technologii.

Podsumowując, problematyka cyberbezpieczeństwa i suwerenności cyfrowej stanowi jedno z najważniejszych wyzwań współczesnego świata. Odpowiednie ujęcie tej problematyki pod kątem badawczym, jak również współpraca między sektorem akademickim, prywatnym i państwowym, są aspektami kluczowymi dla skutecznego przeciwdziałania zagrożeniom w cyberprzestrzeni. W przyszłości, aby skutecznie stawić czoło wyzwaniom związanym z cyberbezpieczeństwem, konieczne będzie dalsze zacieśnianie współpracy międzynarodowej oraz rozwijanie krajowych i europejskich programów badawczych. Państwa będą musiały również kontynuować prace nad regulacjami prawnymi, które uwzględnią specyfikę cyberprzestrzeni i zapewnią ochronę suwerenności cyfrowej. W tym kontekście ważne będzie również monitorowanie i adaptowanie się do nowych technologii oraz rozwijanie zdolności do reagowania na cyberzagrożenia. Wspierając naukę oraz sektor badań i rozwoju, Polska może stać się liderem w dziedzinie cyberbezpieczeństwa, przyczyniając się do globalnej stabilności i bezpieczeństwa w erze cyfrowej.

dr Przemysław Roguski, Katedra Prawa Międzynarodowego Publicznego

Wydział Prawa i Administracji Uniwersytetu Jagiellońskiego

Dyskusja (0 komentarzy)