Najbardziej krytykowany projekt prawny w historii UE" -co dalej z kontrolą czatu?
#kontrolaczatu #inwigilacja #KE #eUE
W 2022 roku Komisja Europejska (KE) zaproponowała projekt rozporządzenia, mającego na celu walkę z pornografią dziecięcą i innymi rodzajami nadużyć seksualnych wobec nieletnich. I chociaż pozornie wydawało by się, że w propozycji, której przyświeca szczytny cel, nie ma nic niestosownego – diabeł jak zwykle tkwi w szczegółach. Politycy – nie wnikając już, czy i na ile wykorzystując instrumentalnie delikatny temat jako pretekst do wprowadzenia masowej inwigilacji, a na ile mając dobre chęci i po prostu życzeniowo myśląc o technologii, zaproponowali prawnego bubla. [EDIT: pojawiły się nowe informacje w tej sprawie, a dziennikarskie śledztwo ujawniło nową sieć powiązań – ogarnę po polsku i podlinkuję, ale póki co: https://netzpolitik.org/2023/anlasslose-massenueberwachung-recherchen-decken-netzwerk-der-chatkontrolle-lobby-auf/]. Projekt, który, wprawdzie górnolotnie, ale nie bezpodstawnie określa się mianem “najbardziej krytykowanym unijnym projektem prawa wszechczasów” (https://edri.org/our-work/most-criticised-eu-law-of-all-time/). Tymczasem, ignorując krytykę, KE popycha pomysł dalej, mając po swojej stronie rządy wielu państw europejskich, które nowymi możliwościami inwigilacji własnych obywateli nie pogardzą.
Z racji, że czekają nas jeszcze negocjacje trójstronne (między Radą UE, Komisją Europejską i Parlamentem Europejskim), Parlament i Rada UE chciały by przyjąć ostateczne stanowisko w ciągu najbliższych tygodni, by rozporządzenie zostało przyjęte przed eurowyborami (czerwiec 2024). Najbliższe głosowanie w tej sprawie miało odbyć się w tym tygodniu – zostało jednak odroczone, a prace nad aktem dalej trwają. (https://netzpolitik.org/2023/internes-protokoll-eu-staaten-wollen-chatkontrolle-in-zwei-wochen-beschliessen/, https://www.heise.de/news/Widerstand-aus-Deutschland-Abstimmung-im-EU-Rat-zur-Chatkontrolle-geplatzt-9310335.html, https://eupolicy.social/@khaleesicodes/111093057298247225)
A o co konkretnie chodzi? Regulacja, o której mowa, to COM/2022/209 – “Rozporządzenie Parlamentu Europejskiego i Rady ustanawiające przepisy mające na celu zapobieganie niegodziwemu traktowaniu dzieci w celach seksualnych i jego zwalczanie” (Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse), nazywane też “regulacją CSA”, “CSAR”, “propozycją CSAM” czy “kontrolą czatu” (https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2022%3A209%3AFIN). Rozporządzenie nakłada szereg nowych obowiązków na dostawców usług hostingowych, sklepów z aplikacjami oraz komunikatorów, przy czym najwięcej kontrowersyjnych nakazów narzucono tym ostatnim. Zgodnie z propozycją Komisji (oraz późniejszymi poprawkami do projektu) dostawcy usług mieliby być zobowiązani do oceny ryzyka, skutecznej weryfikacji wieku użytkowników, skanowania wiadomości, w tym także obrazu i dźwięku (https://cyberdefence24.pl/polityka-i-prawo/kontrola-czatu-wiekszosc-krajow-ue-popiera-skanowanie-komunikacji-audio), pod kątem potencjalnych treści zawierających pornografię dziecięcą lub inne nadużycia wobec nieletnich (jak np. grooming – czyli nagabywanie w celu zdobycia zaufania i wykorzystania). Miałoby to dotyczyć zarówno już znanych, jak i nowych przypadków nadużyć, a zgromadzony w ten sposób materiał miałby być przesyłany do specjalnie utworzonego w tym celu ogólnounijnego centrum danych.
Teoretycznie dostawcy mieliby używać w tym celu narzędzi, które są bezpieczne, skuteczne, “wystarczająco niezawodne”, prześlą wyłącznie wspomniane wyżej materiały dot. molestowania, nie ingerując przy tym zbytnio w prywatność użytkowników. Pomysłodawcy niespecjalnie przejmują się faktem, że takie narzędzia zwyczajnie nie istnieją.
Nic więc dziwnego, że na projekt wylała się fala krytyki z niemal wszystkich stron. Zareagowali specjaliści z branży IT zwracając uwagę, że obecna technologia, włącznie z AI, w której tak pokładają nadzieje pomysłodawcy projektu, nie jest w stanie wiarygodnie wyselekcjonować przedstawień nadużyć wobec nieletnich spośród innych video, zdjęć czy tekstów. (https://www.heise.de/news/Chatkontrolle-EU-Kommission-vertraut-bei-Trefferquote-auf-Meta-und-Hollywood-7286503.html). Skanowanie szyfrowanej komunikacji natomiast wymagałoby pozostawienia backdorów (luk w zabezpieczeniach) umożliwiających i państwu (https://netzpolitik.org/2022/spionage-skandal-pegasus-abrechnung-mit-europa/), i cyberprzestępcom na monitorowanie użytkowników. Skanowanie treści po stronie użytkownika (tzw. client-side scanning) całkowicie zaprzeczyłoby idei szyfrowania (https://netzpolitik.org/2022/chatkontrolle-apple-macht-rueckzieher-beim-client-side-scanning/). Zareagowali zarówno obrońcy praw podstawowych argumentując, że proponowane rozporządzenie uderzyłoby w prawo do prywatności, jak i organizacje cyfrowego społeczeństwa obywatelskiego podnoszące, że możliwość szyfrowania jest tej prywatności gwarantem. Zagrożone byłyby też dane dot. zdrowia – komunikacja z lekarzami i przesyłanie im dokumentacji medycznej, zwłaszcza od czasów pandemii, czasami odbywa się za pośrednictwem e-porady (https://netzpolitik.org/2022/falscher-verdacht-gegen-vater-ein-fall-aus-den-usa-zeigt-die-gefahr-der-geplanten-chatkontrolle/). Swoje trzy grosze dołożyli ludzie związani z ochroną danych osobowych podkreślając, jak niebezpieczna także pod tym kątem jest propozycja KE – i to zarówno jeśli chodzi o samo zbieranie danych, jak i ich gromadzenie w centralnym rejestrze z szerokim do niego dostępem. Nie zabrakło tu uwag na styku ochrony danych i cyberbezpieczeństwa – “skuteczna weryfikacja wieku” sprowadzałaby się w wielu przypadkach do okazywania dokumentu tożsamości osobom, które bez wprowadzenia wspomnianej regulacji nie zostałyby do tego upoważnione, a lata przekonywania użytkowników, by chronili swoje dane i nie okazywali dokumentów byle komu, poszłyby na marne. Krytyka spadła też ze strony środowisk wolnego oprogramowania (https://szmer.info/post/225325), – spełnienie stawianych wymogów byłoby de facto niemożliwe ze strony jego programistów i wolontariuszy zarówno ze względu na czasochłonność, jak i zasadę niegromadzenia danych oraz zdecentralizowany charakter usług. Otwarty list do europosłów i członków Rady wystosowali badacze i naukowcy akademiccy (https://docs.google.com/document/d/13Aeex72MtFBjKhExRTooVMWN9TC-pbH-5LEaAbMF91Y/edit), pisząc o wadliwości technologii, podatności na ataki, negatywnych konsekwencjach osłabienia szyfrowania end-to-end i nieskuteczności proponowanych rozwiązań. Przedstawiciele organów ścigania wprost przyznali, że osoby wykorzystujące dzieci zazwyczaj korzystają z nieszyfrowanych form komunikacji, a główny problem w ściganiu przestępców stanowi brak zasobów (https://cyberdefence24.pl/prywatnosc/niemcy-nie-chca-kontroli-czatu-czy-ue-zrezygnuje-ze-skanowania-wiadomosci, https://www.europarl.europa.eu/doceo/document/LIBE-CR-750050_EN.pdf). Środowiska feministyczne zgłosiły obawy dot. dyskryminacji, którą już teraz stosują algorytmy wykorzystujące sztuczną inteligencję ( https://feministtechpolicy.org/en/case-studies/csa-regulation/).
Grupy związane ze ściganiem przestępców seksualnych i pomocą ich nieletnim ofiarom podkreślały, że ich głównym problemem nie jest prawo do prywatności i szyfrowana komunikacja, a brak ludzi i odpowiedniego dofinansowania. I że zarzucenie organów ścigania masą błędnych wskazań sprawi, iż na badanie realnych przestępstw wobec dzieci będzie jeszcze mniej czasu i środków. Inni zauważali, że fala fałszywych zgłoszeń może doprowadzić nie tylko do naruszenia prywatności, ale wysuwania fałszywych oskarżeń wobec niewinnych osób (https://www.heise.de/news/Chatkontrolle-EU-Kommission-vertraut-bei-Trefferquote-auf-Meta-und-Hollywood-7286503.html), a policja, zamiast ścigać pedofilów, będzie analizować komunikację młodo wyglądających dorosłych czy oglądać intymne zdjęcia wysyłane sobie wzajemnie przez nastolatki (kwestie związane z sekstingiem między nastolatkami to inny problem, niż pedofilia). Projekt skrytykowali także politycy różnych opcji, unijni eksperci, prawnicy (https://cdn.netzpolitik.org/wp-upload/2023/05/2023-04-26_Council_Legal-Service_CSAR_8787_Agence-Europe.pdf, https://cyberdefence24.pl/prywatnosc/kontrola-czatu-o-tym-ze-jest-nielegalna-mowia-nawet-unijni-prawnicy) i 2 komisje Parlamentu Europejskiego (PE) (https://szmer.info/post/307984).
Obszerną analizę problemu (podobne pomysły pojawiły się bowiem w W. Brytanii w postaci Online Safety Bill i w USA w postaci Kids Online Safety Act) przedstawili też bezpośrednio zainteresowani, czyli obrońcy praw dziecka (https://netzpolitik.org/2022/crypto-wars-gesetzesvorhaben-in-eu-uk-und-den-usa-gefaehrden-verschluesselung/, https://szmer.info/post/257940). Działacze Międzynarodowej Sieci na rzecz Praw Dziecka (CRIN – Child Rights International Network) i brytyjskiej organizacji zajmującą się ochroną dzieci Defend Digital Me zapoznali się z fachową literaturą oraz porozmawiali z przedstawicielami różnych grup i organizacji. Wśród rozmówców znalazły się ofiary przemocy seksualnej wobec dzieci, eksperci zajmujący się ochroną danych, ochroną nieletnich, prawami podstawowymi czy technologią – w tym osoby powiązane z Internet Watch Foundation, korporacją Meta (do której należy Facebook, Instagram czy Whats'App) oraz EFF (Electronic Frontier Foundation). Wyniki opublikowano w ponad stustronicowym raporcie (https://home.crin.org/readlistenwatch/stories/privacy-and-protection), dokładnie analizującym zagadnienie. Dokument podkreśla, jak ważną rolę pełni szyfrowana komunikacja w życiu dzieci – pozwala im zachować prywatność, a tym samym rozwijać osobowość i budować zaufanie w relacjach z rodzicami czy nauczycielami – co zwiększa prawdopodobieństwo, że dzieci zwrócą się do nich po pomoc w momencie, gdy będą jej potrzebować. Raport ostrzega przed techsolutionizmem. Zwraca także uwagę, że proponowane rozwiązania mogłyby zostać wykorzystanie w krajach mniej demokratycznych do represji wobec przeciwników politycznych czy mniejszości seksualnych. Krytyka nie ominęła pomysłu stworzenia unijnego centrum, do którego miałyby trafiać podejrzane materiały – byłyby tam przeglądane i klasyfikowane przez ludzkich pracowników, co dodatkowo narusza prywatność nieletnich i znacznie zwiększa liczbę osób mających dostęp do wspomnianych materiałów (https://szmer.info/post/257940).
Autorzy raportu podkreślają, że lepszym sposobem na walkę z wykorzystywaniem nieletnich jest profilaktyka, edukacja i stosowanie “mechanizmów sprawozdawczych” – czyli stworzenie narzędzi, które umożliwiłyby proste zgłaszanie niepokojących treści. Jednocześnie równie ważna jest szybka reakcja na to zgłoszenie – i to ten aspekt stanowi spory problem. Zgłaszający muszą bowiem czekać na reakcję nieraz kilka tygodni. Tymczasem ochrona dzieci “wymaga ludzkiego zaufania, wymiany wiedzy i stabilnej infrastruktury”, a tym samym współdziałania różnych podmiotów. Którym – jak zauważają osoby pomagające dzieciom – brakuje nie chęci, lecz środków (https://szmer.info/post/257940).
W powyższych stanowiskach przebija się krytyka techsolutionizmu – czyli założenia, zgodnie z którym nie musimy już rozwiązywać problemów społecznych, bo rozwiąże ja za nas technologia. I w efekcie ignorowania faktu, że takie podejście nie tylko problemów nie rozwiązuje, ale wręcz je pogłębia. Gdyby politycy środki włożone w prace nad inwigilacją przeznaczyli na realną pomoc dzieciom, wszystkim wyszłoby to na dobre.
Finalnie 87 różnych organizacji podpisało się pod otwartym listem wzywającym rządy państw, aby nie zgodziły się na propozycję Komisji. https://eupolicy.social/@edri/111085222410118081, a w Niemczech protesty przeniosły się także na ulicę (https://netzpolitik.org/2022/protest-so-war-die-erste-demo-gegen-die-chatkontrolle/).
W ramach grupy roboczej Rady ds. egzekwowania prawa trwają rozmowy między przedstawicielami państw. Różne zastrzeżenia wobec projektu, domagając się czy to poszanowania praw podstawowych, czy to ograniczenia zakresu inwigilacji, zgłosiło 8 państw, w tym Polska. (https://netzpolitik.org/2023/internes-protokoll-eu-staaten-starten-endspurt-zur-chatkontrolle/). Kolejną, wciąż mocno naruszającą prywatność użytkowników wersję rozporządzenia zaproponowała Hiszpania, pełniąca prezydencję Europy. Wykreśliła zaproponowane przez Szwecję (poprzednia prezydencja) zapisy, że regulacja nie powinna zawierać ogólnych obowiązków dot. nadzoru oraz środków mających na celu obejście szyfrowania end-to-end. Podczas ostatniej rundy negocjacji (lipiec 2023) poza Polską, wątpliwości zgłosiły także Niemcy, Niderlandy, Austria, Luksemburg, Szwecja i Estonia. Sprzeciwiając się tym samym 9 innym państwom, w tym Hiszpanii, Włochom, Rumunii i Czechom. (https://netzpolitik.org/2023/internes-protokoll-eu-staaten-starten-endspurt-zur-chatkontrolle/). Polska zgłosiła wiele poprawek do tekstu. Podniosła, że inwigilacja osób, które nie są o nic podejrzane, byłaby ingerencją nieproporcjonalną do zagrożenia – stosowane środki powinny być ograniczone do osób podejrzanych o popełnienie przestępstwa. Przedstawioną propozycję nazwała “czerwoną linią” (https://writefreely.pl/didleth/polska-wobec-kontroli-czatu, https://netzpolitik.org/2023/internes-protokoll-eu-staaten-starten-endspurt-zur-chatkontrolle/) – wygląda na to, że zakres ingerencji i inwigilacji proponowany przez KE jest nadmierny nawet dla państwa znanego ze stosowania Pegasusa wobec opozycji czy braku kontroli nad służbami. Jest szansa, że – mimo iż większość państw opowiada się za masową inwigilacją – projekt i tak upadnie. UE ma bowiem mechanizm mniejszości blokującej. Jeśli minimum 4 kraje, w których mieszka 35% ludności UE (https://op.europa.eu/webpub/com/abc-of-eu-law/pl/) nie zagłosują za kontrolą czatu, propozycja nie przejdzie. A wyraźny opór wobec pomysłu Komisji, poza Polską, płynie też ze strony Niemiec, Niderlandów, Szwecji i Austrii (https://netzpolitik.org/2023/internes-protokoll-eu-staaten-starten-endspurt-zur-chatkontrolle/). Wciąż nie wiadomo jednak, jakie będzie ostateczne stanowisko poszczególnych państw. Mówi się też o innym scenariuszu: artykuły 7-11 miałyby zostać oddzielone od reszty projektu i omawiane osobno. W praktyce oznacza to, że najbardziej kontrowersyjny element – tj. skanowanie prywatnej komunikacji byłby omawiany oddzielnie, ale pozostałe przepisy, jak wymóg oceny ryzyka przez dostawców sklepów z aplikacjami czy konieczność skutecznej weryfikacji wieku mogłyby zostać przeforsowane. (https://www.heise.de/news/Widerstand-aus-Deutschland-Abstimmung-im-EU-Rat-zur-Chatkontrolle-geplatzt-9310335.html, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2022%3A209%3AFIN .
28 września ministrowie zgromadzeni w Radzie mieli zamiar podjąć ostateczną decyzję (https://netzpolitik.org/2023/internes-protokoll-eu-staaten-starten-endspurt-zur-chatkontrolle/)". Ale – jak donosi portal heise.de powołując się na niemieckie źródła rządowe – głosowanie zostało przełożone. Ma to być skutek protestów społeczeństwa obywatelskiego i dążeń sprzeciwiających się regulacji państw (https://netzpolitik.org/2023/verschiebung-im-rat-zeitplan-fuer-chatkontrolle-ist-vorerst-geplatzt/, https://www.heise.de/news/Widerstand-aus-Deutschland-Abstimmung-im-EU-Rat-zur-Chatkontrolle-geplatzt-9310335.html). Jaki będzie finał? Nie wiadomo. Zwolennicy masowej inwigilacji nie zamierzają odpuścić, na szczęście jej przeciwnicy – także.
Zbiór aktów prawnych (zebrane przez EDRI) https://edri.org/our-work/csa-regulation-document-pool/
Stanowiska specjalistów i organizacji zgłaszających sprzeciw wobec kontroli czatu: https://edri.org/our-work/most-criticised-eu-law-of-all-time/