Rada Unii Europejskiej przyjęła zmienioną wersję przepisów, a kluczową różnicą w stosunku do wcześniejszych pomysłów jest wycofanie się z obowiązkowego, masowego skanowania treści przesyłanych w komunikatorach z szyfrowaniem end-to-end. To ważny krok, ale wcale nie oznacza, że cała sprawa się zamyka. Rozpoczynają się teraz negocjacje trójstronne z Parlamentem Europejskim i Komisją, które zdecydują o ostatecznym kształcie prawa.
Dobrowolność, która może być pułapką
Nowa wersja rozporządzenia opiera się na zasadzie dobrowolności. Platformy komunikacyjne same mają decydować, czy wprowadzą systemy skanowania treści. Brzmi to rozsądnie, ale diabeł tkwi w szczegółach. Takie skanowanie ma być dopuszczone tylko w usługach, które nie oferują pełnego szyfrowania. Problem w tym, że brakuje jasnych ram prawnych i mechanizmów nadzoru nad tym procesem. To tworzy ryzyko, że firmy technologiczne wdrożą własne, niekontrolowane systemy nadzoru na ogromną skalę, a użytkownicy nawet nie będą świadomi, że ich wiadomości są analizowane.
W praktyce ustanowienie całej infrastruktury prawnej i technicznej pod płaszczykiem dobrowolności może okazać się „koniem trojańskim”. Gdy tylko wszystko będzie gotowe, przyszłym decydentom dużo łatwiej będzie przekształcić ten dobrowolny system w obowiązkowy. To klasyczny przykład rozwiązania, które może otworzyć furtkę do czegoś znacznie poważniejszego.
Pięć zagrożeń nowej wersji Kontroli Czatu
Analitycy zwracają uwagę na konkretne luki i zagrożenia w proponowanym tekście. Wskazują na pięć głównych problemów, które mogą mieć poważne konsekwencje dla prywatności i bezpieczeństwa:
- Pierwsze to wspomniane już nieregulowane, dobrowolne skanowanie na platformach bez pełnego szyfrowania. System ten może łatwo wymknąć się spod jakiejkolwiek demokratycznej kontroli.
- Drugim newralgicznym punktem są wymogi weryfikacji wieku i tożsamości dla usług uznanych za „wysokiego ryzyka”. Dla przeciętnego obywatela Unii to może być tylko drobna niedogodność. Dla aktywistów, dziennikarzy czy sygnalistów pracujących w reżimach autorytarnych to potencjalnie śmiertelne zagrożenie. Wyobraźmy sobie białoruskiego reportera, który do kontaktu z informatorami używa szyfrowanej aplikacji. Konieczność potwierdzenia tożsamości oficjalnym dokumentem natychmiast niszczy anonimowość i naraża życie konkretnych ludzi. To nie jest abstrakcyjny scenariusz, tylko realne niebezpieczeństwo.
- Trzecim problemem jest zgoda na wykorzystanie algorytmów sztucznej inteligencji do automatycznego skanowania tekstu w poszukiwaniu oznak „groomingu”, czyli przygotowywania gruntu do wykorzystania seksualnego dzieci. Choć sam pomysł wydaje się słuszny, technologia bywa zawodna. Algorytmy mogą błędnie zinterpretować zupełnie niewinną rozmowę między nastolatkami czy żartobliwą wymianę zdań między dorosłymi. Skutek? Fałszywe zgłoszenia, które zasypią organy ścigania bezużytecznymi alertami, oraz efekt mrożący – ludzie zaczną unikać pewnych tematów w obawie przed byciem oflagowanym przez system.
- Czwarta kwestia jest bardzo techniczna, ale kluczowa dla fundamentalnej zasady poufności. Mowa o tzw. skanowaniu po stronie klienta (client-side scanning). W tej metodzie treść wiadomości jest analizowana na twoim smartfonie lub komputerze, zanim zostanie zaszyfrowana i wysłana do odbiorcy. W zrewidowanym projekcie rozporządzenia ta technologia nie została wyraźnie zakazana. Choć dokument mówi, że szyfrowania nie można osłabiać ani omijać, brak bezpośredniego zakazu pozostawia niebezpieczną lukę. Eksperci od cyberbezpieczeństwa są w tej sprawie niemal jednomyślni. Taki mechanizm podważa samą istotę szyfrowania end-to-end. Jeśli wiadomość jest sprawdzana przed wysłaniem, przestaje być w pełni prywatna. Co gorsza, tworzy potencjalne luki w zabezpieczeniach, które mogą zostać wykorzystane przez cyberprzestępców lub wrogie służby.
- Piątym zagrożeniem jest długofalowy efekt. Nawet jeśli dziś system ma charakter dobrowolny, samo zbudowanie potężnej infrastruktury prawnej i technicznej do masowego skanowania ułatwia w przyszłości przejście do modelu obowiązkowego. To jak wybudowanie autostrady – kiedy asfalt już leży, zwiększenie natężenia ruchu jest tylko kwestią decyzji politycznej.
Sprzeciw wobec pierwotnych, radykalnych założeń Chat Control był powszechny i stanowczy
Europejski Inspektor Ochrony Danych oraz Europejska Rada Ochrony Danych ostrzegały, że masowe, uogólnione monitorowanie komunikacji podważyłoby istotę podstawowych praw i wolności. Nie pozostawili złudzeń także Specjalni Sprawozdawcy ONZ ds. prywatności i wolności słowa, którzy uznali skanowanie po stronie klienta za niedopuszczalne z punktu widzenia praw człowieka.
Czytaj też: Koniec ze spamem? Samsung wreszcie naprawi najbardziej irytujący problem powiadomień w telefonach Galaxy
Krytyce poddano też same technologie wykrywania nielegalnych treści, takie jak porównywanie „hashy” (cyfrowych odcisków plików) czy właśnie algorytmy AI. Eksperci wskazują na ich zawodność, podatność na błędy i względną łatwość obejścia przez sprawców. Wysoki odsetek fałszywych trafień mógłby raczej sparaliżować służby, zasypując je milionami błędnych zgłoszeń, niż pomóc w efektywnym ściganiu przestępców.
Czytaj też: Google testuje nagłówki generowane przez AI w Discover z absurdalnym skutkiem
Choć usunięcie zapisu o obowiązkowym skanowaniu wiadomości szyfrowanych jest taktycznym zwycięstwem obrońców prywatności, zrewidowany plan Kontroli Czatu wprowadza mechanizmy, które stanowią podstępne zagrożenie. Obowiązkowe „funkcje ograniczania ryzyka”, potencjalna weryfikacja tożsamości dla aktywistów, ryzyko błędu sztucznej inteligencji w interpretacji tekstu oraz brak wyraźnego zakazu skanowania po stronie klienta tworzą grunt pod przyszłą, powszechną inwigilację. Walka o wolność komunikacji w UE daleka jest od końca. Teraz pozostaje czekać na negocjacje z Parlamentem i Komisją Europejską, aby zobaczyć, czy te ukryte zagrożenia zostaną usunięte, czy staną się cichą, ale niebezpieczną normą.