CSAM – stanowisko na temat projektu rozporządzenia

Publikujemy stanowisko przygotowane przez organizacje, firmy i ekspertów ds. cyberbezpieczeństwa związanych z Globalną Koalicją na rzecz Szyfrowania, przygotowane w reakcji na najnowszą, kompromisową propozycję prezydencji belgijskiej z maja 2024 r. w sprawie Rozporządzenia dotyczącego seksualnego wykorzystywania dzieci (CSA). Ma ono związek z planowanym na trzeci tydzień czerwca 2024 r. przedstawieniem przez belgijską prezydencję propozycji wspólnego stanowiska w tej sprawie. Jako Internet Society Poland Chapter chcemy zwrócić uwagę na niebezpieczeństwa płynące z masowego monitorowania treści „u źródła”, i jednocześnie łatwość w obchodzeniu takiego monitorowania przez osoby chcące łamać prawo.

STANOWISKO NA TEMAT

zagrożeń związanych z kompromisową propozycją Rady UE

dotyczącą CSAM

Wykorzystywanie seksualne dzieci i jego rozpowszechnianie w Internecie jest poważnym przestępstwem, któremu można skutecznie przeciwdziałać tylko wtedy, gdy państwa członkowskie UE przyjmą wyważone podejście oparte na dowodach eksperckich. Parlament Europejski już to zrobił, wykluczając usługi szyfrowania typu end-to-end z zakresu rozporządzenia. Pochwalamy ten krok, jako że szyfrowanie jest istotne dla zapewnienia bezpieczeństwa oraz zagwarantowania praw człowieka i podstawowych wolności. Z zadowoleniem przyjmujemy to pozytywne podejście Parlamentu Europejskiego, ponieważ szyfrowanie typu end-to-end jest kluczową technologią, która chroni dorosłych, dzieci, firmy i rządy przed staniem się ofiarami przestępców w sieci.

Jesteśmy zaniepokojeni faktem, że Rada UE nie podąża tą samą drogą. Prezydencja belgijska nadal opowiada się za stosowaniem technologii skanowania w szyfrowanych usługach przesyłania wiadomości, a także za innymi nieproporcjonalnymi ograniczeniami praw cyfrowych. Wykrywanie treści było kwestią sporną dla wielu państw członkowskich UE, które do tej pory sprzeciwiały się technologiom skanowania po stronie klienta, słusznie przyjmując, że stwarza to poważne zagrożenie dla bezpieczeństwa i prywatności, umożliwiając ogólne monitorowanie treści i podważając prawa człowieka. Dziękujemy ministrom w Radzie za uznanie istotności szyfrowania i wysiłki na rzecz jego ochrony.

Starając się znaleźć rozwiązanie, belgijska prezydencja zmieniła nazwę tego podejścia, używając terminu „moderacja przesyłania” (upload moderation). Jest to jedynie kosmetyczna zmiana, ponieważ nadal nie rozwiązuje ona zastrzeżeń dotyczących bezpieczeństwa i praw zgłaszanych przez ekspertów w odniesieniu do skanowania po stronie klienta. Skanowanie w punkcie źródła przesyłania narusza zasadę end-to-end silnego szyfrowania, można je łatwo obejść i stworzyłoby nowe luki w zabezpieczeniach, możliwe do wykorzystania przez osoby trzecie. Krótko mówiąc, nie rozwiąże to problemu rozprzestrzeniania się w Internecie materiałów przedstawiających seksualne wykorzystywanie dzieci, za to wprowadzi znaczne zagrożenia dla bezpieczeństwa wszystkich obywateli, firm i rządów.

Najnowszy kompromisowy tekst prezydencji belgijskiej starał się znaleźć konsensus, proponując, aby:

1. skanowanie po stronie klienta miałoby zastosowanie wyłącznie do treści wizualnych (zdjęć i filmów) oraz adresów URL; oraz

2. użytkownicy usług komunikacyjnych musieliby wyrazić zgodę na skanowanie, w przeciwnym razie nie mogliby przesyłać ani udostępniać zdjęć i filmów za pomocą usługi.

We współczesnych społeczeństwach cyfrowych wymiana zdjęć i filmów jest standardową czynnością. Jeśli użytkownik nie ma prawdziwego wyboru, czuje się zmuszony do wyrażenia zgody albo jest de facto wykluczony z usługi, gdyby nie wyraził zgody, to udzielona zgoda nie jest dobrowolna. Wymuszona zgoda nie jest dobrowolną zgodą. Co więcej, zaproponowane rozwiązanie nie jest odpowiednie do celu i można je łatwo obejść, po prostu osadzając zdjęcia lub filmy w innym typie pliku, takim jak dokument tekstowy lub prezentacja.

Wzywamy ministrów w Radzie Unii Europejskiej do odrzucenia wszystkich propozycji skanowania, które są niezgodne z zasadą szyfrowania end-to-end, w tym skanowania po stronie klienta i moderacji przesyłania, oraz do zagwarantowania ochrony praw cyfrowych w całej propozycji rozporządzenia. Proponowane obecnie inwazyjne techniki mogą jedynie zagrozić bezpieczeństwu i prawom użytkowników Internetu.