- Każde tylne drzwi do sposobów szyfrowania, z których dzisiaj korzystają organy bezpieczeństwa i organy ścigania, jutro będą używane przez przestępców - mówi dr hab. Wojciech Wiewiórowski, europejski inspektor ochrony danych.

Co pan wybiera: wolność w sieci czy dobro dzieci?
ikona lupy />
UE / fot. Daina Le Lardic/UE

Dla każdego z nas przestępstwa przeciwko dzieciom są najohydniejszym sposobem wykorzystywania internetu, jaki można sobie wyobrazić, i jednym z najohydniejszych rodzajów przestępstw w ogóle. Natomiast stawianie sprawy tak, że poświęcamy wolność na rzecz pewnych narzędzi, które – jak nam się wydaje – mogą pomóc w walce z przestępstwami przeciwko dzieciom, nie jest dobrą alternatywą.

Te narzędzia chciałaby wprowadzić Komisja Europejska. Przedstawiła projekt rozporządzenia, na mocy którego wszystkie wiadomości przesyłane przez internet byłyby skanowane w ramach walki z rozpowszechnianiem materiałów przedstawiających seksualne wykorzystywanie dzieci (CSAM).

Nie jestem przeciwny samemu rozporządzeniu. Wprowadza ono choćby obowiązek oceny, na ile usługa dostarczana w sieci może być groźna dla dzieci. To bardzo cenna analiza. Natomiast mam duże wątpliwości wobec stałego monitorowania komunikacji w sieci, czyli – mówiąc brutalnie – podsłuchu rozmów sieciowych, który KE chce wprowadzić. Sprzeciwiam się też narzędziom, które służą do odczytywania szyfrowanej komunikacji między użytkownikami (end-to-end encryption – E2EE).

Warto wspomnieć, że to nie pierwszy raz, kiedy takie rozwiązania są forsowane. Te same mechanizmy miały być odpowiedzią na zagrożenie terroryzmem.

Ale jeśli faktycznie to ma pomóc…

Wprowadzenie takich rozwiązań jest przekroczeniem Rubikonu. Już dziś ze strony policji słychać, że te narzędzia byłyby przydatne także do zwalczania innych poważnych przestępstw. Niewiele dzieli nas od zadania pytania, czy właściwie istnieją przestępstwa niepoważne. I w ten sposób – krok po kroku – dochodzimy do rutynowej inwigilacji całej komunikacji sieciowej.

Rozwiązania wprowadzane rozporządzeniem CSAM są groźne dla naszego rozumienia internetu jako miejsca wymiany informacji. Również takich, które są tajne czy szczególnie chronione, jak choćby tajemnice zawodowe (np. lekarska i adwokacka) czy tajemnica przedsiębiorstwa.

Obywatele UE, w tym Polski, zgadzają się na zwiększoną kontrolę, jeśli stawką jest dobro dzieci – tak twierdzi ECPAT International. Ma na to sondaże.

Każda osoba zapytana, czy chce chronić dzieci w internecie, odpowie, że tak. Tyle że nie wszystkie środki, które można zastosować, są warte tego, żeby ich użyć. Chciałbym podkreślić, że każdy, kto pracuje nad tym rozporządzeniem, z pewnością ma dobre chęci. Natomiast część organizacji społecznych forsuje przy tym zbyt daleko idące środki. My w biurze EIOD codziennie widzimy konsekwencje, jakie dla obywateli ma głęboka ingerencja w prywatność.

„Kto nie robi niczego nielegalnego, nie ma powodu, by się obawiać” – ten argument pada też w dyskusji o CSAM.

Do dziś pamiętam, jak w 1982 r. – byłem wówczas w podstawówce – mieliśmy spotkanie z milicjantem. Tłumaczył nam, dlaczego są podsłuchiwane rozmowy telefoniczne. Mówił, żebyśmy się nie przejmowali, ponieważ oni szukają tylko złych ludzi. Pamiętam, że jako 11-latek zastanawiałem się, kto decyduje, czy moi rodzice są dobrzy, czy źli. To dylemat bardzo podobny do tego, jaki rozstrzygamy w tej chwili.

Takie próby sił często kończą się porażką obrońców prywatności. Próbował pan zabronić Europolowi przechowywania kwadrylionów danych starszych niż sześć miesięcy, o ile nie zostały poddane kategoryzacji, tj. powiązane z przestępczością – ale się nie udało.

Udało się. Te dane, które zgodnie z decyzją EIOD Europol miał zniszczyć, jeśli nie doszłoby do określenia ról osób – ofiara, sprawca czy świadek itp. – zostały ostatecznie skategoryzowane na czas.

Ale po pańskiej decyzji Parlament Europejski i Rada znowelizowały unijne rozporządzenie, dodając przepisy legalizujące z mocą wsteczną przetwarzanie danych, co do których nie stwierdzono związku z działalnością przestępczą. Złożył pan na to skargę do TSUE.

Zarzuty zgłoszone do TSUE nie dotyczą Europolu, tylko przepisów, które umożliwiły dokonywanie oceny gromadzonych przez Europol danych wstecznie, tzn. za okres sprzed decyzji europejskiego inspektora ochrony danych (wydanej w styczniu 2022 r. – red.). Zdajemy sobie sprawę z tego, że Parlament Europejski i Rada mają prawo podejmować decyzje o tym, w jaki sposób Europol będzie przetwarzał dane w przyszłości, oraz że sposoby przetwarzania tych danych stanowią wyjątek od zasady ochrony prywatności – i jest to wyjątek uzasadniony i w odpowiedni sposób zminimalizowany.

Efekt jest taki, że prawo do prywatności ustępuje przed środkami mającymi zapewniać bezpieczeństwo.

To nieustanny wyścig, ponieważ te same lub podobne rozwiązania technologiczne, które służą zwiększaniu ochrony jakiegoś zakresu informacji, mogą też zostać wykorzystane przez przestępców. To jest część dyskusji, którą teraz prowadzimy na temat szyfrowania komunikacji internetowej i zagrożeń związanych z jego osłabianiem. Każde tylne drzwi do sposobów szyfrowania, z których dzisiaj korzystają organy bezpieczeństwa i organy ścigania, jutro będą używane przez przestępców.

Kto nie zdaje sobie z tego sprawy, powinien sobie przypomnieć Eterna Blue – rozwiązania przygotowane przez Amerykańską Agencję Bezpieczeństwa (NSA), które miały umożliwiać dostęp do systemów informatycznych przeciwników. Zostały one wykradzione z NSA i użyte przez zorganizowane grupy przestępcze. Podobnie metody łamania kryptografii, które miałyby zostać wprowadzone z pomocą rozporządzenia CSAM, jutro znajdą się w rękach przestępców i będą używane do odwrotnych celów.

Przypomina to też przeciąganie liny: po stronie obrońców prywatności trzyma ją mniej osiłków.

Z taką sytuacją mamy do czynienia w całości prawa, nie tylko w kwestiach dotyczących praw podstawowych i nie tylko w przypadku prawa do prywatności. Kiedy pojawiają się nowe rozwiązania technologiczne, zawsze dokonujemy ponownej analizy, ponownego nazwania i zdefiniowania zasad, problemów i zagrożeń.

Wracając do dzieci: jak je chronić, jednocześnie szanując prywatność internautów?

Naszym zadaniem jest ocena wpływu regulacji na ochronę danych osobowych. Natomiast jeśli miałbym wskazać kierunki, pomocne byłoby na pewno wprowadzenie skutecznego sposobu na ustalenie wieku użytkownika usługi internetowej. W tej chwili go nie mamy.

Czyli: wejdziesz na stronę, jak pokażesz dowód?

Okazanie dowodu osobistego to tylko jeden ze sposobów, w dodatku rodzi wiele problemów. Łatwo np. posłużyć się dowodem osobistym innej osoby. O to zresztą rozbija się także pomysł głosowania przez internet.

A może czasy anonimowości po prostu się skończyły? Być może AI Act, negocjowany właśnie w unijnych instytucjach, pozwoli rozpoznawać każdego przechodnia.

Zwracamy na to uwagę w naszej opinii o tym projekcie. KE chce umożliwić biometryczne zdalne rozpoznawanie twarzy w czasie rzeczywistym w miejscach publicznie dostępnych. Pozostawienie takiej możliwości nawet jedynie organom ścigania, sprawi, że nikt nigdy nie będzie już mógł sądzić, że jest anonimowy. Tutaj zresztą też zastosowano wytrych, że miałoby to służyć ściganiu przestępstw przeciwko dzieciom. Na razie trwa jednak trialog, czyli uzgodnienia między PE, KE i Radą, więc nic nie jest postanowione.

Ważą się też losy systemów AI, które miałyby trafić do kategorii wysokiego ryzyka, ale pojawił się pomysł wyjątków pozwalających je sklasyfikować łagodniej. Czy to dobre rozwiązanie?

To się okaże dopiero w praniu. Ważniejszą kwestią jest, kto tego typu przypisania miałby dokonywać i na jakim poziomie: czy w ramach aktów wykonawczych, czy też decyzji wydawanych przez Komisję Europejską.

Jesteśmy w EIOD zwolennikami sporej elastyczności listy zastosowań AI wysokiego ryzyka z jednoczesnym nakazem analizy efektów tych przepisów w stosunkowo krótkich okresach, co dwa lata. Co kilka miesięcy będziemy mieli do czynienia z kolejną rewolucją technologiczną, która przyniesie nowe wyzwania.

A jakie wyzwania czekają nowego prezesa UODO? Kadencja Jana Nowaka się skończyła, jego następcę wybierze już nowy parlament.

Takie same jak w większości krajów UE i świata. W Unii jest to przede wszystkim prawidłowe wdrożenie RODO. Po pięciu latach jesteśmy na etapie kontroli sądowej wydanych decyzji, nie umożliwiono wciąż w pełni reprezentacji interesów osób przez organizacje społeczne. Wszystkie kraje mają tu sporo do zrobienia. Do tego współpraca międzynarodowa i transfery danych osobowych poza Unię, szczególnie do krajów innych niż Stany Zjednoczone.

No właśnie, tak się skupiamy w tej kwestii na USA, że umykają nam Chiny i Rosja.

Jest to spowodowane skalą transferów, bo mnóstwo usług chmurowych korzysta z przechowywania danych na terenie Stanów Zjednoczonych.

A widzi pan szansę na trwałe uregulowanie podstaw przesyłania danych do USA? Mamy trzecią decyzję KE o adekwatności – i została już zakwestionowana tak jak dwie poprzednie.

System zaproponowany obecnie jest lepszy od poprzednich porozumień: Bezpiecznej przystani i Tarczy prywatności. Przedstawiciele Komisji Europejskiej, którzy prowadzili negocjacje z USA, tym razem zarobili na swoje wynagrodzenie. W tekstach aktów prawnych przyjętych po stronie amerykańskiej pojawiły się rozwiązania dotyczące ochrony danych, których do tej pory tam nie było. Pytanie, na ile one będą możliwe do wdrożenia w praktyce.

Jaka regulacja lub jakie nowe narzędzia wzmocniłyby ochronę danych?

Jednym z najrozsądniejszych sposobów jej wzmacniania jest nakazywanie tym, którzy tworzą różne rozwiązania, żeby zastanowili się nad ich celowością. Dobrym przykładem są kamery przemysłowe. Zanim się je gdzieś umieści, warto przeprowadzić ocenę tego, do czego tak naprawdę ta kamera ma służyć i kto ma mieć do niej dostęp. Powiedzmy, że umieszczamy kamery w szpitalu. W pewnych miejscach – jak OIOM – ich użycie jest wskazane, w innych – jak korytarze – już nie. Dostęp do danych w niektórych przypadkach powinni mieć tylko lekarze i władze szpitala, w innych ochroniarze.

W tym zakresie projektowane przepisy dotyczące ochrony dzieci nie są złe, bo przewidują obowiązek oceny, na ile usługi jakiegoś podmiotu mogą budzić zagrożenie. Powinien jej dokonać każdy przedsiębiorca.

I okaże się, że w zasadzie wszystko jest zagrożeniem dla dzieci.

Grupa podmiotów, które powinny brać pod uwagę bezpieczeństwo dzieci na swoich platformach, na pewno okaże się bardzo szeroka. Nie mówimy tylko o Facebooku czy Instagramie. To także Genshin Impact, Roblox, Fortnite i inne gry, które mają możliwość czatu. ©℗

Rozmawiały Elżbieta Rutkowska i Anna Wittenberg