Czy UE chce osłabić szyfrowaną komunikację? Tak, choć niekoniecznie przez Chat Control

1 tydzień temu 16

Czy słyszeliście o Chat Control – unijnym prawie, które ma wprowadzić skanowanie treści w komunikatorach pod kątem materiałów pedofilskich? Wbrew obawom nie będzie ono “programem inwigilacji”, co nie zmienia faktu, że UE rzeczywiście chciałaby zapewnić służbom dostęp do szyfrowanej komunikacji.

Jeśli choćby pobieżnie interesujecie się prawem dotyczącym internetu, to w ostatnich miesiącach mogliście trafiać na newsy czy wpisy dotyczące Chat Control – „tajemniczego” unijnego prawa, które ma doprowadzić do powszechnej inwigilacji użytkowników komunikatorów internetowych. Niektóre komentarze dotyczące Chat Control są katastroficzne, inne studzą emocje (najczęściej poprzez zapewnienia, że „to nie będzie obowiązkowe”). Pytanie, jakie możecie sobie w tej sytuacji zadać, jest proste – o co naprawdę chodzi? Gdzie są źródła? Na jakim etapie są prace i czy naprawdę UE chce położyć łapę na internetowej  komunikacji?

Udzielenie rzeczowej odpowiedzi nie jest łatwe (jak zwykle), ale spróbujemy was wprowadzić w temat.

Szyfrowanie przeszkadza nie od dziś

Zacznijmy od tego, że niemal od zarania internetu politycy i służby niespecjalnie godzą się z istnieniem szyfrowanej komunikacji oraz szyfrowanych nośników danych. Co kilka lat wraca argument, że należy zakazać szyfrowanej komunikacji, ponieważ… nie udało się jeszcze wyeliminować przestępczości z internetu (i mówi się to tak, jakby poza internetem przestępczości już nie było). W 2014 roku dyrektor FBI James Comey otwarcie nazywał sprzedawanie szyfrowanych smartfonów „sprzedawaniem czegoś, co stawia ludzi ponad prawem”. W 2016 roku dokumenty ujawnione przez organizację Bits of Freedom pokazały, że UE już wtedy dążyła do ograniczenia szyfrowania.

Nasi starsi Czytelnicy zapewne pamiętają absurdalną propozycje wprowadzania backdorów do oprogramowania, albo kłótnię o odblokowanie telefonu zamachowca z San Bernardino. Nie wchodząc w dalsze historyczne wywody możemy powiedzieć jedno. Proponowanie przez polityków ograniczonego dostępu do szyfrowania ma długą historię i wraca regularnie. Różne projekty były tworzone i odrzucane, ale jednym ze sposobów przepychania niechcianego pomysłu jest ciągłe wracanie do niego. W temacie szyfrowania to już tradycja.

Jest też druga tradycja. Jeśli chcesz wprowadzić zakaz szyfrowania albo cenzurę rób to dla dobra dzieci!

Chat Control (CSAR) czyli co?

W roku 2022 zaproponowano w UE wprowadzenie rozporządzenia, które ustanowiłoby przepisy mające na celu zapobieganie niegodziwemu traktowaniu dzieci w celach seksualnych i jego zwalczanie. Treść wniosku w tej sprawie jest dostępna na stronach KE. Regulacja stała się znana również jako CSA Regulation albo krócej CSAR. Miała ustanowić m.in. nowe obowiązki dla dostawców e-usług i usług hostingowych, przy czym  dostawcy usług łączności interpersonalnej mieli zacząć identyfikować, analizować i oceniać ryzyko wykorzystania usługi w celu niegodziwego traktowania dzieci w celach seksualnych w internecie.

Dokument wspomina również o wykrywaniu treści, które są związane z wykorzystywaniem dzieci. Poniżej cytat z wniosku.

Niektórzy dostawcy usług już teraz dobrowolnie stosują technologie pozwalające wykrywać, zgłaszać i usuwać przypadki niegodziwego traktowania dzieci w celach seksualnych w internecie w ramach swoich usług. Jednak działania podejmowane przez dostawców usług są bardzo zróżnicowane – zdecydowana większość zgłoszeń pochodzi od kilku dostawców, a znaczna liczba dostawców nie podejmuje żadnych działań
(…)
W tym kontekście konieczne są jednolite unijne przepisy dotyczące wykrywania, zgłaszania i eliminowania niegodziwego traktowania dzieci w celach seksualnych w internecie, które uzupełnią akt o usługach cyfrowych, zlikwidują istniejące bariery na jednolitym rynku cyfrowym i zapobiegną ich rozprzestrzenianiu się (…) Nakładając na dostawców usług obowiązek wykrywania, zgłaszania, blokowania i usuwania ze swoich usług materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych, wniosek umożliwi lepsze wykrywanie, dochodzenie i ściganie przestępstw objętych dyrektywą w sprawie zwalczania niegodziwego traktowania dzieci w celach seksualnych.

Tutaj przypomnijmy, że istotnie niektórzy usługodawcy tacy jak Google, Dropbox czy Microsoft mają i stosują technologię, która potrafi wykryć np. pedofilskie załączniki w poczcie (zob. Google wykryło pedofilski załącznik na GMailu i doniosło policji na swojego użytkownika). W roku 2012 mieliśmy ożywioną dyskusję na temat wprowadzania podobnych rozwiązań do produków Apple. Unia Europejska postanowiła pójść o krok dalej i powiedziała – wprowadźmy standardy i prawne obowiązki, tak aby każdy dostawca e-usług (w tym “łączności interpersonalnej”) robił to w taki sam sposób.

Przyznacie tutaj, że czym innym jest dobrowolne stosowanie tego rodzaju skanowania, a czym innym narzucanie go odgórnie.

Krytyka ze wszystkich stron

CSAR doczekała się ostrej krytyki z wielu stron. W Niebezpieczniku wspominaliśmy już o zastrzeżeniach  ze strony dostawcy poczty Tutanota, ale było tego znacznie więcej. Pokaźny zbiorek wypowiedzi krytycznych znajdziecie na stronie organizacji European Digital Rights. CSAR była krytykowana przez:

  • Europejską Radę Ochrony Danych,
  • niektóre ofiary wykorzystywania seksualnego(!!!),
  • ekspertów od praw dzieci,
  • naukowców,
  • niezależnych analityków i nawet….
  • służby i Radę ds. Kontroli Regulacyjnej KE.

Tu z pewną dumą zaznaczamy, że Polska od początku była krajem nieprzychylnym tej propozycji i to się nie zmieniło mimo zmiany władzy.

Zacytujmy fragment opinii Europejskiej Rady Ochrony Danych.

Propozycja mogłaby stać się podstawą do facto, powszechnego i nieselektywnego skanowania treści praktycznie wszystkich rodzajów komunikacji elektronicznej wszystkich użytkowników w UE/EOG. W rezultacie przepisy mogą skłonić ludzi do powstrzymywania się od udostępniania legalnych treści z obawy, że ich działania mogłyby stać się podstawą do objęcia ich nadzorem.

EROD zwróciła też uwagę na wiele szczegółów np. że “neutralność technologiczna” propozycji sprawi, iż poziom ingerencji w prawa jednostek będzie różny w zależności od rozwiązania zastosowanego przez danego dostawcę. Czy naprawdę będziemy w stanie osiągnąć jeden standard ochrony dzieci? I najważniejsze pytanie – czy wykrywanie treści ma być absolutnie obowiązkowe czy nadal będzie dobrowolne?

Co się dzieje teraz?

Prace nad CSAR są śledzone przez różnych aktywistów, nie tylko wspomnianą EDRi. Duński programista przedstawiający się jako Joachim uruchomił stronę Fightchatcontrol.eu, która informuje o postępach prac nad prawem. W listopadzie na stronie pojawiły się wpisy na temat m.in. przepychania niepokojącej “kompromisowej” wersji nowego prawa przez duńską prezydencję choć dodajmy, że planowane jest dopisanie do dokumentu motywu 17a stwierdzającego, że żaden przepis rozporządzenia nie nakłada na dostawców obowiązku wykrywania treści (por. Euractiv, Danish Presidency backs away from ‘chat control’) .

Prace nad Chat Control uważnie śledzi niemiecki europoseł Patrick Breyer związany z Partią Piratów. Na jego stronie znajdziecie podsumowania dotyczące proponowanego prawa, naszym zdaniem nieco przesadzone (jak to u polityka) niemniej mogące stanowić ciekawy punkt wyjścia dla tych, którzy chcieliby się dowiedzieć więcej i dotrzeć do źródeł.

Widać, że rośnie społeczna świadomość tego czym jest CSAR i politycy chyba zaczynają to uwzględniać w swoich kalkulacjach. Ewentualna obowiązkowość lub dobrowolność wykrywania treści pedofilskich jest od początku jedną z najbardziej dyskutowanych kwestii. Obrońcy prywatności z reguły jednak zauważą, że wprowadzenie rekomendacji może być przygotowaniem do wprowadzenia obowiązku. To jednak nie wszystko, bo zmiany w tekście prawnym rzadko kiedy dotyczą tylko jednego przepisu, a cała propozycja rozporządzenia dotyka wielu innych kwestii (np. weryfikowania wieku użytkowników usług, w tym komunikatorów). Pojawiają się też “świeże” pomysły, które mogą zadziwiać.

A może tak analiza tekstu?

Warto zajrzeć do listu otwartego jaki do Rady UE skierowali naukowcy z kilkunastu europejskich uczelni. List dotyczy propozycji z 13 listopada 2025 roku. Jest w nim komentarz nie tylko dotyczący analizy obrazów czy filmów, ale również treści tekstowych.

Na pierwszy rzut oka to jest świetny pomysł – jeśli ktoś będzie uwodził dziecko to jego dziwne teksty zostaną wychwycone! Naukowcy mają poważne zastrzeżenia do tego podejścia.

Obecna technologia AI jest daleka od osiągnięcia precyzji niezbędnej do wykonywania tych zadań z gwarancją wymaganego poziomu dokładności. Fałszywe trafienia wydają się nieuniknione – zarówno z powodu ograniczeń technologii AI, jak i dlatego, że zachowania, które ma regulować rozporządzenie, są niejednoznaczne i silnie zależne od kontekstu (…) Rozszerzenie zakresu objętych propozycją formatów dodatkowo zwiększy i tak już bardzo dużą liczbę fałszywych alarmów (…) Podawaliśmy wcześniej kilka przykładów dotyczących obrazów, np. nagie zdjęcia wysyłane do lekarza czy nastolatków eksplorujących swoją seksualność. Te same argumenty mają zastosowanie do wiadomości tekstowych, które mogłyby zostać uznane za przejawy uwodzenia (groomingu). Na przykład zachowania związane z groomingiem mogą być bardzo podobne do interakcji całkowicie akceptowalnych w przyjaznym kontekście, takich jak rozmowy z krewnymi lub bliskimi przyjaciółmi, czy rozmowy między nastolatkami nawiązującymi nowe relacje.

Trudno nam ocenić jak długo ktoś będzie bronił takich pomysłów, ale chcieliśmy zasygnalizować jedno. Ten projekt może pójść w różne strony i poprawa w jednym obszarze może oznaczać dziwactwa w innym. Będzie trzeba to obserwować.

Klicki: CSAR to jedno, ale UE ma inne pomysły

Możemy czytać dokumenty dotyczące Chat Control i próbować wyciągać z nich wnioski. Jednak w takich przypadkach dobrze jest spytać o dodatkową opinię kogoś kto zna temat nie od dziś, zna realia tworzenia prawa w UE oraz nie ma skłonności do przesady. Taką osobą jest – naszym zdaniem – Wojciech Klicki, prawnik z fundacji Panoptykon. Spytaliśmy go przede wszystkim o to, czy jego zdaniem wprowadzenie CSAR jest realne.

Obecnie obowiązuje przejściowe rozporządzenie umożliwiające dostawcom usług podejmowanie czynności zmierzających do wykrywania CSAR, ale nie nakładające na nich w tym obszarze obowiązków. Przepisy przejściowe tracą moc 3 kwietnia 2026 r., można więc zakładać, że do tego czasu instytucje unijne będą intensywnie pracować nad osiągnięciem kompromisu i dojdzie do przyjęcia nowej regulacji. Widzę dużą determinację obecnej prezydencji duńskiej, by wypracować kompromis i uniknąć sytuacji, która wydarzyła się kilka lat temu, kiedy wobec zbliżającego się upływu okresu obowiązywania regulacji tymczasowej i niemożności wypracowania kompromisu… przedłużono czas obowiązywania regulacji tymczasowej i tylko w ten sposób uniknięto powstania luki prawnej – stwierdził ekspert Panoptykonu.

Jak jednak zauważył Wojciech Klicki, zagrożenie dla szyfrowanej komunikacji w UE niekoniecznie musi czaić się w samym Chat Control.

Odniosę się do znanej mi aktualnie wersji projektu, który nie zakłada obowiązkowe skanowania treści czatów pod kątem CSAR, a jedynie nakłada obowiązek podjęcia działań minimalizujących ryzyko wykorzystania usług do przesyłania materiałów CSAM. Według ujawnionych wczoraj informacji prezydencja duńska przecięła wątpliwości – doprecyzowano, że “żadne z postanowień niniejszego rozporządzenia nie może być interpretowane jako nakładające na dostawców obowiązki ujawniania informacji”. Musimy jeszcze przyjrzeć się kolejnym wersjom projektu, ale na tę chwilę wygląda na to, że powszechna i obowiązkowa kontrola czatów nie leży na stole, co jest niewątpliwie zasługą m.in. konsekwentnego sprzeciwu ze strony polskiego rządu (zarówno aktualnego, jak i poprzedniego).

To brzmi nieźle, ALE…

Aktualne brzmienie projektu nie zmienia faktu, że Komisja Europejska jest zdeterminowana, by doprowadzić do przyjęcia przepisów umożliwiających organom ścigania dostęp do szyfrowanych treści. Zwracam uwagę na trwające w UE prace nad dokumentem pod nazwą “ProtectEU: a European Internal Security Strategy”. Zgodnie z nim Komisja chce przygotować rozwiązania technologiczne, które “umożliwiłyby organom ścigania dostęp do zaszyfrowanych danych w sposób zgodny z prawem, chroniąc cyberbezpieczeństwo i prawa podstawowe”. Tak więc być może na ten moment nazywanie CSAR “powszechnym programem inwigilacji” jest nadużyciem, niemniej możliwość bezpiecznego i w pełni poufnego korzystania z szyfrowanej komunikacji jest zagrożona.

Dokument wspomniany przez Wojciecha Klickiego znajdziecie na stronach KE także w wersji polskiej (KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO, RADY, EUROPEJSKIEGO KOMITETU EKONOMICZNO-SPOŁECZNEGO I KOMITETU REGIONÓW w sprawie ProtectEU: europejska strategia bezpieczeństwa wewnętrznego). Rzeczywiście mówi on całkiem wprost o zapewnieniu organom ścigania dostępu do danych szyfrowanych.

Co ciekawe ten sam dokument wspomina o potrzebie opracowania rozwiązań w zakresie kryptografii postkwantowej, czyli takiej, której nawet komputerem kwantowym nie złamiesz. Ciekawe. O tym jednak KE pisze w kontekście zabezpieczania infrastruktury krytycznej.

W ogólności tworzenie europejskiej strategii bezpieczeństwa cyfrowego nie jest się złym pomysłem. Każdy się zgodzi, że musimy mieć wypracowane metody odpowiadania na tzw. zagrożenia hybrydowe i o tym też w dokumencie jest. Tylko co KE może wymyślić w dziedzinie dostępu do treści szyfrowanych dla służb? Zapewne niebawem się dowiemy. Rok 2026 coraz bliżej.

Przeczytaj źródło
  1. Indeks
  2. Komputer
  3. Czy UE chce osłabić szyfrowaną komunikację? Tak, choć niekoniecznie przez Chat Control
CYBREX.PL

Trending

1. tauron liga
2. ps plus extra
3. malediwy
4. michalina sosna
5. mikołaj roznerski
6. milan
7. edynburg
8. japonia trzęsienie ziemi
9. john cena
10. aleksandar vuković

Popularne

ZUS przegrał kilkaset spraw w sądach. Prawomocnie i nieprawomocnie. Ale tak naprawdę wygrał [Przeliczenie zaniżonej emerytury. Podwyżki. Wyrównania. Odsetki]

ZUS przegrał kilkaset spraw w sądach. Prawomocnie i nieprawo...

22 godziny temu 198
Szokujące wyznanie Cezarego Pazury – ile naprawdę zarabia na dawnych rolach?

Szokujące wyznanie Cezarego Pazury – ile naprawdę zarabia na...

15 godziny temu 27
"Nic do niego nie czuję". W finale programu "Rolnik szuka żony" zawrzało

"Nic do niego nie czuję". W finale programu "Rolnik szuka żo...

23 godziny temu 17
Od śmierci Agnieszki Maciąg minęło 10 dni. Na jej profilu pojawił się wpis

Od śmierci Agnieszki Maciąg minęło 10 dni. Na jej profilu po...

23 godziny temu 15
Kaczyński zarzucił Rokicie kłamstwo. "Niezmiernie rzadko reaguję"

Kaczyński zarzucił Rokicie kłamstwo. "Niezmiernie rzadko rea...

23 godziny temu 15

AZOX.PL
ENGLISH GOOGLE English (US) English (US) · Polish (PL) Polish (PL) ·
Informacje · Ciasteczka · Kontakt · Regulamin · Linki · Reklama · Disclaimer ·

© yxz 2025. Wszystkie prawa zastrzeżone.