Odločitev o pregledovanju zasebne komunikacije v EU še ni dokončna

Uporabnica facebooka je 12. septembra delila mnenje o »novi ideji Evropske unije glede brskanja po zasebnih sporočilih«, ki po njenem pomeni »največji nadzor v zgodovini EU«. Po njenem prepričanju to pomeni, da bo vsaka beseda pregledana, še preden jo zaščiti šifriranje, češ da bo babica zaradi voščila za rojstni dan osumljena, pogovor z zdravnikom potencialno nevaren, šala s prijateljem pa morda obravnavana kot ꞌsovražni govorꞌ.

Podobno so v članku z naslovom Konec zasebnosti: EU regulativa uvaja pregledovanje zasebnih sporočil in nam na vrata pošilja policijo 26. avgusta poročale Slovenske novice: »Če boste ženi poslali fotografijo lastnega otroka med dopustovanjem na plaži, vam na vrata lahko potrka policija.«

Tako uporabnica facebooka kot časopis Slovenske novice sta se sklicevala na predlog direktive evropskega parlamenta in sveta o določitvi pravil za preprečevanje spolne zlorabe otrok in boju proti njej (CSAM). Kot smo poročali junija lani, je evropska komisija predlog uredbe podala 11. maja 2022. Predlagana uredba je predvidevala pregled fotografij in povezav, ki si jih pošiljajo uporabniki medosebnih komunikacijskih storitev, tudi šifriranih. 

Šifriranje sporočila, e-pošto in klice zaščiti pred nepooblaščenim dostopom tretjih oseb do njihove vsebine. Gre za matematično preoblikovanje podatkov, tako da jih lahko razbere izključno prejemnik, ki so mu namenjeni. 

Kot je opredeljeno v predlogu uredbe, naj bi pregledovanje komunikacij ponudnikom telekomunikacijskih storitev omogočalo prepoznavo vsebin, ki vključujejo spolno zlorabo otrok.

Po predlogu uredbe bi morali ponudniki teh storitev – družbenih omrežij (denimo facebook in instagram), aplikacij za sporočanje (denimo signal in telegram) in platform, ki imajo poleg drugih funkcij tudi možnost spletnih pogovorov (na primer google, discord) – spremljati sporočila uporabnikov za namen izdelave ocen tveganja pojavnosti in zaznave spornih vsebin.

Predlog predvideva tudi ustanovitev evropskega centra za preprečevanje spolne zlorabe otrok in boj proti njej (center EU za zaščito otrok). Center bi prejemal, filtriral in ocenjeval prijave spolne zlorabe otrok ter jih posredoval pristojnim nacionalnim organom in Europolu. Prav tako bi podpiral nacionalne organe, izvajal preiskave in izrekal globe. Ponudniki bi lahko brezplačno pridobili, namestili in upravljali tehnologije, ki bi jim jih dal na voljo center EU za zaščito otrok, vendar izključno za izvajanje odredbe o zaznavanju.

Na tiskovnem predstavništvu evropskega parlamenta so za Razkrinkavanje.si pojasnili, da bi morale biti odredbe, po potrditvi katerih bi ponudniki spletnih komunikacijskih storitev lahko odkrivali vsebine, za katere sumijo, da vsebujejo spolne zlorabe otrok, »usmerjene, specifične in omejene na posameznike ali skupino uporabnikov, za katere obstaja utemeljen, četudi posredni, sum, da so povezani z razširjanjem nezakonitih vsebin«.

Dodali so, da bi zaznavanje teh vsebin lastnikom platform z odredbo o zaznavanju morali odobriti sodni organi. Stališče evropskega parlamenta v enem izmed predlaganih dopolnil k predlogu uredbe je, da novi evropski center ne bi mogel izdati odredb za zaznavanje za nadzor vsebin, zaščitenih z obojestranskim šifriranjem.

Kot so opozorili, se bo aktualni predlog uredbe do končne različice še spreminjal, saj vsak zakonodajni akt predstavlja kompromis med institucijami. V zakonodajnem sistemu Evropske unije se morata evropski parlament in svet EU strinjati o sprejetju predpisov, kar dosežeta s pogajanji, potem ko najprej sprejmeta vsak svoje stališče. Parlament je stališče o uredbi CSAM sprejel novembra 2023, so pojasnili, svet EU pa bo to predvidoma storil na zasedanju sveta za pravosodje in notranje zadeve, ki bo 13. in 14. oktobra.

Ministrstvo za notranje zadeve je 1. oktobra letos sporočilo, da predloga uredbe, kot je zastavljen zdaj, »ne more podpreti«. Pojasnili so, da je sicer boj proti spolnemu izkoriščanju in spolnim zlorabam otrok za Slovenijo prednostna naloga ter da podpirajo ureditev tega področja.

Aktualna različica uredbe povečuje možnosti za kibernetska tveganja

V Laboratoriju za kibernetsko varnost in digitalno forenziko, ki deluje pri Inštitutu za informatiko Fakultete za elektrotehniko, računalništvo in informatiko (FERI) Univerze v Mariboru, so za Razkrinkavanje.si izrazili zaskrbljenost zaradi evropske uredbe CSAM. »Čeprav tehnična izvedba regulative še ni jasna, je že razvidno, da bi njena uvedba prinesla precejšnja kibernetska tveganja, na primer zlorabo pooblastil, in s tem povečala nevarnost posegov v zasebnost vseh državljanov EU.«

Kot so pojasnili, bi nova uredba »izrazito nesorazmerno uvedla celovit in stalen nadzor nad vsemi uporabniki interneta v EU«. Takšen pristop je po njihovi oceni »v očitnem nasprotju z veljavnimi predpisi o varstvu osebnih podatkov, kot sta uredba GDPR in uredba o umetni inteligenci, ki temeljita na zaščiti pravic posameznika«.

Za posebej skrb vzbujajoče so označili dejstvo, da bi se z uredbo CSAM »odločanje o tem, ali neka vsebina kaže na sum kaznivega dejanja, lahko preneslo na zasebne korporacije, namesto da bi to ostalo v pristojnosti neodvisnega pravosodnega sistema«.

»Zagovarjamo zaščito otrok, vendar ne na način, ki ogroža veliko večino drugih državljanov EU, zato nasprotujemo nadaljnjemu oblikovanju aktualne različice predloga uredbe CSAM.«

V laboratoriju za kibernetsko varnost so prepričani, da »je mogoče učinkovito zaščititi otroke in druge ranljive skupine ter hkrati ohraniti temeljne človekove pravice, vključno s pravico do zasebnosti in svobode«. »Še posebej v izrazito nesorazmernih okoliščinah represija ni in ne more biti edini odgovor na družbene izzive, saj družbo, norme, kulturo in etiko oblikujemo ljudje, z vzgojo, izobraževanjem in ravnanjem,« so dodali.

Mreža EDRi, ki deluje na področju zaščite digitalnih pravic, je že 11. maja 2022 opozorila, da »predlog uredbe močno ogroža zasebnost in varnost komunikacij v EU in po svetu«. Po njihovi oceni »predlog na široko odpira vrata zlorabam, hkrati pa si zatiska oči pred realnostjo in evropsko komisijo razbremenjuje vsake odgovornosti za stranske učinke predloga«. 

Več kot tristo raziskovalcev z različnih področij je 4. julija 2023 v odprtem pismu opozorilo evropski parlament in države članice EU, da uspeh ukrepov – ob upoštevanju aktualnih in prihodnjih tehnologij – ni mogoč, pri čemer imajo ti precejšen potencial za škodljive posledice. Po mnenju znanstvenikov v prihodnjih desetih do dvajsetih letih ne bo mogoče razviti namenskih rešitev, ki bi na napravah uporabnikov delovale tako, da ne bi prepuščale nezakonitih informacij, a bi zanesljivo zaznavale sporne vsebine.

Septembra lani so dopolnili odprto pismo in pojasnili, da predlog uredbe zaradi nespremenjenih pomanjkljivosti »ostaja nesprejemljiv«.

Potreba po pretehtanju pravic vseh uporabnikov

Informacijska pooblaščenka Jelena Virant Burnik je za Razkrinkavanje.si pojasnila, da je slovenski urad informacijskega pooblaščenca kot del evropskega odbora za varstvo podatkov sodeloval pri pripravi mnenja o navedeni uredbi. V skupnem mnenju, objavljenem julija 2022, so evropski varuhi osebnih podatkov komisiji predlagali, naj »predlog spremeni, da bo skladen z načeli nujnosti in sorazmernosti«, da ga ne bo mogoče razumeti, kot da v splošnem ukinja ali slabi šifriranje komunikacij.

Podobno kot tiskovno predstavništvo evropskega parlamenta je tudi informacijska pooblaščenka opozorila, da so stališča držav članic sveta EU o tej temi »tako različna, da so se pogajanja upočasnila, stališča pa naj bi poskušali zbližati in o predlogu dokončno glasovati to jesen«.

Informacijska pooblaščenka meni, da je tudi pri zaščiti otrok na spletu »treba pretehtati pravice vseh uporabnikov šifriranih komunikacijskih kanalov ter najti ustrezne tehnične in pravne rešitve, ki bodo uravnovesile vse interese, potrebne varovanja«.

Varnost podatkov v digitalni dobi je ključnega pomena tudi za uživanje drugih temeljnih pravic, je pojasnila, denimo varstva osebnih podatkov in zasebnosti ter svobode izražanja, združevanja in misli. Kot je pojasnila, je sodišče EU splošni nadzor nad komunikacijami brez ustreznih varovalk že večkrat zavrnilo kot nesorazmeren ukrep za zaščito še tako nujnih ciljev v javnem interesu.

Da bi se izognili tveganju množičnega nadzora, je ključno za zaščito zasebnosti posameznikov to, da bi bile odredbe o zaznavi spornih vsebin izdane ciljno, za pregled komunikacij osebe, za katero bi obstajal utemeljen sum, da širi vsebine, povezane s spolno zlorabo otrok. Če predlog uredbe ne bo upošteval pravice do zasebnosti, bi lahko kršil pravici do spoštovanja zasebnega in družinskega življenja ter varstva osebnih podatkov, ki sta opredeljeni v listini EU o temeljnih pravicah, je opozorila.

Uporabnico facebooka in Slovenske novice smo seznanili z našimi ugotovitvami. Odziva bomo objavili, ko ju prejmemo.