W imię walki z pedofilią Komisja Europejska proponuje, aby dostawcy usług internetowych mieli obowiązek skanowania korespondencji. Nie da się tego pogodzić z prawem do prywatności
Dane dotyczące problemu pedofilii w internecie są zatrważające (patrz: grafika). Z roku na rok jest coraz gorzej - amerykańskie Narodowe Centrum ds. Zaginionych i Wykorzystywanych Dzieci (NCMEC) w 2021 r. przyjęło prawie 30 mln zgłoszeń nadużyć dotyczących nieletnich, podczas gdy rok wcześniej 21 mln. Nie powinno więc dziwić, że Komisja Europejska podejmuje działania mające zwiększyć bezpieczeństwo w sieci. Przedstawiona właśnie propozycja rozporządzenia dotyczącego zapobiegania wykorzystywaniu seksualnemu budzi jednak powszechne kontrowersje, gdyż w praktyce wymaga od dostawców skanowania korespondencji przesyłanej przez użytkowników pod kątem materiałów z pornografią dziecięcą czy też prób nagabywania nieletnich.
- Plany zapobiegawczego, czyli bez jakichkolwiek podejrzeń, prześwietlania całej komunikacji uderzają w nasze prawa podstawowe. W praktyce nowe obowiązki oznaczałyby nieustanne przeszukiwanie w czasie rzeczywistym wszystkich treści na urządzeniach końcowych. W oczywisty sposób uderza to w tajemnicę telekomunikacyjną i integralność systemów informatycznych. Zagrożona byłaby poufność chronionej dotąd komunikacji dziennikarzy z sygnalistami, umów między prawnikami a ich klientami czy komunikacji medycznej - ostrzega Tomasz Borys, ekspert zajmujący się ochroną danych osobowych.
Nowe obowiązki mają być nałożone na dostawców usług łączności interpersonalnej. Chodzi m.in. o komunikatory i czaty, pocztę elektroniczną, a nawet platformy z grami, jeśli udostępniają funkcje czatów. A także serwisy hostingowe z obrazami i filmami. Regulacja obejmie więc olbrzymią grupę usługodawców internetowych.
Podstawowy wymóg to przeprowadzenie oceny ryzyka świadczonej usługi pod kątem możliwości wykorzystania jej do rozpowszechniania materiałów pedofilskich czy też uwodzenia nieletnich. W zależności od wyników tych analiz mają być podejmowane dalsze środki, które uniemożliwią taką działalność. Jednocześnie zostanie wprowadzony ogólny wymóg wykrywania tych nadużyć.
- To brzmi szczytnie do momentu, gdy nie zrozumiemy, że chodzi o monitoring, nadzór lub wgląd w treść komunikacji. Takie zakusy to zagrożenie dla bezpieczeństwa informacji. Uważam, że do pewnego stopnia da się wprowadzić ochronę techniczną, ryzyko wyłomu w zabezpieczeniach będzie jednak realne - uważa dr Łukasz Olejnik, niezależny badacz i konsultant cyberbezpieczeństwa i prywatności.
Fala krytyki
Zgodnie z projektem firmy musiałyby skanować treści pod kątem już zidentyfikowanych zdjęć czy filmów, które już zostały zakwalifikowane jako nielegalne i którym nadano już znaczniki techniczne. Niektórzy usługodawcy robią to już dziś, współpracując z organami ścigania i takimi organizacjami jak NCMEC. Umożliwia to unijne rozporządzenie 2021/1232 w sprawie tymczasowego odstępstwa od niektórych przepisów dyrektywy 2002/58/ WE. Tyle że ono jedynie pozwala na taki monitoring, nowe rozporządzenie będzie zaś go nakazywać. Podobnie zresztą jak wyszukiwanie treści, które jeszcze nie zostały zakwalifikowane jako nielegalne, a także przypadki uwodzenia dzieci, co już będzie wymagać wykorzystania sztucznej inteligencji. Jeśli zastosowane środki okażą się niewystarczające, wyznaczony w danym kraju organ koordynujący będzie mógł wystąpić do sądu o nakazanie wykrywania nadużyć. Materiały pedofilskie mają być usuwane, a informacje o przestępstwach przekazywane do organów koordynujących.
- Cel oczywiście jest szczytny, tylko że moim zdaniem nie uzasadnia aż tak głębokiej ingerencji w prywatność nas wszystkich. Obawiam się, że raz uchylona furtka będzie otwierana coraz szerzej, tak jak to było z przepisami dotyczącymi zwalczania terroryzmu. Z czasem zaczęto je stosować do ścigania poważnych przestępstw, potem zwykłych, a na końcu wykroczeń. Charakterystyczne jest, że nawet niektóre organizacje działające na rzecz ochrony dzieci sprzeciwiają się proponowanej regulacji - komentuje Wojciech Klicki, prawnik Fundacji Panoptykon.
Rzeczywiście niemieckie stowarzyszenie ochrony dzieci Kinderschutzbund uznaje projekt KE za nieproporcjonalny i na dodatek nieskuteczny. Zwłaszcza w przypadku szyfrowanych metod komunikacji, które jego zdaniem prawie nie są wykorzystywane w rozpowszechnianiu pornografii dziecięcej. Nie brakuje jednak też głosów przeciwnych. Międzynarodowa organizacja Innocence in Danger uważa, że proponowane regulacje przyczynią się do poprawy bezpieczeństwa dzieci.
Zdecydowanie krytyczna jest Europejska koalicja na Rzecz praw cyfrowych (European Digital Rights), skupiająca organizacje z całej UE. Wyjątkowo gorąca dyskusja na temat projektu toczy się w Niemczech. Co ciekawe, nie ma nawet zgody w ramach rządu. Niemiecka minister spraw wewnętrznych popiera propozycje KE, a minister sprawiedliwości jest im przeciwny.
- Każdy akt seksualnej przemocy wobec dzieci musi być ścigany. Jednak środkiem do tego celu nie może być nadzór nad całą populacją. Potencjał niewłaściwego wykorzystania takiej technologii jest ogromny. Wiadomości setek milionów niewinnych osób będą skanowane, co doprowadzi również do tego, że nawet zupełnie nieszkodliwe treści trafią do władz - mówi Tomasz Borys.
Koniec z szyfrowaniem?
Największy problem może dotyczyć korespondencji szyfrowanej. Chodzi zarówno o komunikatory takie jak Signal, jak i szyfrowaną pocztę elektroniczną. Czytając projekt rozporządzenia, w zasadzie nie wiadomo, co z nimi zrobić.
- Nie wiem, jak w praktyce należałoby zastosować te przepisy. Próbują one godzić to, czego pogodzić się nie da: prywatność komunikacji ze skanowaniem treści. Z jednej strony wymagają aktywnego wyszukiwania niezgodnych z prawem treści, z drugiej - przynajmniej na papierze - nie zakazują, a nawet wspierają szyfrowanie danych. Tyle że szyfrowanie wyklucza skanowanie - zauważa dr Paweł Litwiński, adwokat z Kancelarii Barta Litwiński.
Paradoks polega na tym, że KE wspiera szyfrowanie danych. Przykładowo korespondencja medyczna czy też adwokacka powinna być szyfrowana, aby zapewnić ochronę tajemnicy zawodowej. Co więcej, w przypadku np. ich transferu do USA jest ono wręcz wymagane. A amerykańscy giganci oferujący swe usługi w UE również będą objęci nową regulacją.
- Ma powstać centrum UE, które miałoby udostępniać wskaźniki zakazanych treści i technologie monitoringu. Tylko że takie działające technologie dla silnego szyfrowania end-to-end zwyczajnie nie istnieją. Nie ma ich - tłumaczy dr Łukasz Olejnik.
W tej sytuacji usługodawcy mogą uznać, że przy komunikacji szyfrowanej end-to-end, której z założenia nie można skanować, nie muszą ich robić. Tyle że wówczas organ koordynujący będzie mógł wystąpić do sądu, by ten nakazał podjęcie środków umożliwiających wykrywanie nadużyć.
- Niestety obawiam się, że przy takim konflikcie usługodawcy przestaną oferować szyfrowanie, uznając, że inaczej nie da się realizować obowiązku wychwytywania treści związanych z wykorzystywaniem seksualnym dzieci. Widzę też dodatkowy problem. Gigantom będzie dużo łatwiej wprowadzić rozwiązania informatyczne skanujące korespondencję, także z wykorzystaniem sztucznej inteligencji, niż małym lokalnym firmom. To zaś może sprawić, że te ostatnie zaczną rezygnować ze świadczenia usług takich jak choćby poczta elektroniczna - ostrzega Wojciech Klicki.
Skąd takie niebezpieczeństwa? Ze względu na wysokie kary dla firm, które nie będą przestrzegać regulacji. Mają one sięgać nawet 6 proc. rocznego przychodu przedsiębiorstwa. Może to być bolesne zwłaszcza dla mniejszych polskich firm, ale również stanowić wyzwanie dla dużych krajowych portali, świadczących usługi poczty elektronicznej czy też nawet udostępniających czaty.
Nowe przepisy mają wejść w życie do sierpnia 2024 r. Wtedy to bowiem przestanie być stosowane wspomniane rozporządzenie tymczasowe 2021/1232. ©℗