Przy okazji regulacji mającej chronić dzieci, część krajów UE chce zakazać najsilniejszego szyfrowania. Polska sprzeciwia się tak dalekiej ingerencji, choć uważa, że deszyfracja powinna być możliwa po orzeczeniu sądu.

Kilkanaście państw Unii Europejskiej – mniej lub bardziej zdecydowanie – popiera pomysł zakazania szyfrowania end-to-end (E2EE) gwarantującego, że w drodze między nadawcą a odbiorcą nikt wiadomości nie odczyta. Takie stanowisko wyraziły podczas konsultowania projektu unijnego rozporządzenia w sprawie zapobiegania niegodziwemu traktowaniu dzieci w celach seksualnych i jego zwalczania. Ma ono przede wszystkim powstrzymać rozpowszechnianie materiałów przedstawiających seksualne wykorzystywanie dzieci (CSAM). Projekt Komisji Europejskiej zobowiązuje dostawców usług dostępu do internetu, usług komunikacji interpersonalnej i hostingowych oraz sklepy z aplikacjami do oceny i ograniczania ryzyka w zakresie CSAM. Przewiduje też w razie potrzeby kierowanie do tych podmiotów nakazów wykrywania, zgłaszania i usuwania takich treści – do czego ma służyć odszyfrowanie komunikacji na takich platformach.

Otwieranie furtki

Już w ubiegłym roku, po zaprezentowaniu projektu przez KE, organizacje broniące praw cyfrowych zrzeszone w European Digital Rights (EDRi), w tym polska Fundacja Panoptykon, apelowały o zmianę tych zapisów jako zagrażających prywatności, a przez to ograniczających prawa człowieka. Argumentowały m.in., że furtkę do skanowania komunikacji internetowej rządy mogłyby wykorzystywać wobec przeciwników politycznych.

Jak jednak wynika z dokumentu Rady UE, datowanego na 12 kwietnia i ujawnionego m.in. przez serwis Wired, zakaz szyfrowania wciąż ma w Unii zwolenników. Prym wiedzie tu Hiszpania, która uważa, że „byłoby idealnie, gdyby ustawowo uniemożliwić dostawcom usług z siedzibą w UE wdrażanie E2EE”. Rumunia nie chce, by szyfrowanie było „bezpieczną przystanią dla przestępców”, a Węgry i Cypr argumentują, że pomoże to organom ścigania. Część państw wypowiada się oględniej, ale ze wskazaniem na odszyfrowanie komunikacji. Zdecydowanie przeciwko przepisom służącym omijaniu szyfrowania są Niemcy. Podobne stanowisko zajęły Holandia, Estonia, Finlandia i Włochy.

Polska w tej ankiecie zastrzegła wprawdzie, że bezpieczeństwo komunikacji jest ważne, ale opowiedziała się za deszyfracją na mocy postanowienia sądu lub w przypadku decyzji rodzica odnośnie do wiadomości dziecka. A to oznaczałoby większy dostęp do internetowej korespondencji dla służb i mniejszą ochronę dla treści wiadomości przesyłanych przez obywateli i firmy.

– Polityczno-prawne nakazy osłabienia bezpieczeństwa komunikacji są nierozsądne. To celowe wprowadzanie luk i sposobów omijania w zabezpieczeniach – uważa dr Łukasz Olejnik, niezależny badacz i konsultant ds. cyberbezpieczeństwa, autor książki „Filozofia cyberbezpieczeństwa”. Dodaje, że zakaz E2EE łamałby unijną dyrektywę o cyberbezpieczeństwie (NIS2), która stanowi, że nie należy osłabiać takich zabezpieczeń.

Nowe stanowisko Polski

Jakub Woźny, partner z Kancelarii Prawnej Media, radca prawny specjalizujący się w prawie komunikacji elektronicznej, zwraca uwagę na potrzebę zachowania równowagi między prawem do prywatności a ochroną małoletnich.

– W toczącej się dyskusji widać wyraźnie, że KE chciałaby, by środki miały charakter celowany. Z drugiej strony propozycji zarzuca się, że środki te będą mogły być skuteczne tylko wtedy, gdy będą stosowane w sposób masowy. Ten aspekt będzie pewnie wymagał doprecyzowania – zaznacza.

Na razie doprecyzowane zostało stanowisko Polski. DGP otrzymał z Ministerstwa Cyfryzacji jego najnowszą wersję, z 8 maja. W dokumencie podkreślono, że unijne rozporządzenie „nie powinno wprowadzać rozwiązań, które w nieuzasadniony sposób naruszają podstawowe prawo do prywatności użytkowników internetu”.

– Popieramy wszystkie działania mające chronić dzieci przed nadużyciami wobec nich w internecie, niemniej chcemy poszanowania dla prawa do prywatności. To jedno z podstawowych praw demokracji i nie wolno go naruszać – mówi nam Paweł Lewandowski, podsekretarz stanu w Ministerstwie Cyfryzacji. – Sprzeciwiamy się traktowaniu z góry wszystkich jak przestępców i pomysłom stałego monitorowania komunikacji internetowej. Zależy nam na zagwarantowaniu, aby w żadnym przypadku projektowanych przepisów nie można było odczytywać jako pozwalających na osłabienie szyfrowania – podkreśla.

W majowym dokumencie Polska nadal opowiada się za możliwością deszyfracji na podstawie decyzji sądu – ale uzupełnia tę propozycję obwarowaniami. Ma to być „środek ostateczny”, stosowany w przypadkach wymienionych w rozporządzeniu. Decyzja sądu „musi dotyczyć określonych osób i tylko wtedy, gdy istnieją mocne dowody na to, że mogą one być zamieszane w popełnienie danego przestępstwa”. „W żadnym wypadku” nakaz sądu nie może mieć charakteru ogólnego ani dotyczyć „nieokreślonej lub nieograniczonej liczby obywateli”.

Co polskie władze miały na myśli, proponując wcześniej umożliwienie rodzicowi lub opiekunowi „dokonanie świadomego wyboru odszyfrowania komunikacji dziecka”?

– Chodzi tu o wykorzystanie dostępnych w mediach społecznościowych mechanizmów kontroli rodzicielskiej nad kontami dzieci. W takim przypadku nie dochodzi do naruszenia prywatności. Algorytm sprawdza natomiast, czy informacje kierowane do dzieci nie zawierają nieodpowiednich treści – wyjaśnia Paweł Lewandowski. – Upowszechnienie tego mechanizmu sprawi, że każdy, kto będzie chciał dokonać nadużycia wobec dziecka, zastanowi się dwa razy – dodaje.

Zapewnia, że Polska stara się przekonać inne kraje do zmiany zdania na korzyść E2EE.

– Jeżeli dziś pod pretekstem ochrony dzieci dopuścimy do szerokiego zakazu szyfrowania i przyzwolenia na monitorowanie wszystkich treści w sieci, to będzie to otwarcie puszki Pandory. Za tym pójdą kolejne preteksty i kolejne zagrożenia dla prawa do prywatności – stwierdza wiceminister Lewandowski.

I tak można kontrolować

Czy biorąc pod uwagę cel ochrony dzieci, warto wprowadzić tak drastyczny środek jak zakaz E2EE?

– To podobny przypadek, jak w dyskusji odnośnie do metod walki z COVID-19. Tu dla jednych ważniejsza jest ochrona przed władczą ingerencją państwa, dla drugich dostęp do potężniejszych narzędzi walki z naruszeniami kierowanymi wobec małoletnich – odpowiada Jakub Woźny.

Łukasz Olejnik podkreśla, że trzeba chronić dzieci przed nadużyciami. – Ale czy robić to, wylewając dziecko z kąpielą i osłabiając bezpieczeństwo nas wszystkich? Dziwne, że nikt nie proponuje, aby wprowadzono komunikatory „dla dzieci”, gdzie zabezpieczenia można odwrócić – stwierdza.

Piotr Mieczkowski, dyrektor zarządzający fundacji Digital Poland, dodaje, że platformy internetowe i bez zakazu E2EE są w stanie wychwycić niebezpieczne treści.

– Dziwi mnie, że jest problem z wykrywaniem materiałów pedofilskich, skoro komunikatory internetowe potrafią np. powstrzymać rozpowszechnianie filmików i wiadomości nacechowanych terrorystycznie – komentuje. Przytacza przykład masakry w meczetach w Nowej Zelandii w 2019 r., którą sprawca transmitował na Facebooku i Twitterze. – Streaming usunięto, a nagrań nie dało się potem przesyłać w aplikacjach – mówi Piotr Mieczkowski. ©℗

Rosnący problem / Dziennik Gazeta Prawna - wydanie cyfrowe