- Każde tylne drzwi do sposobów szyfrowania, z których dzisiaj korzystają organy bezpieczeństwa i organy ścigania, jutro będą używane przez przestępców - mówi dr hab. Wojciech Wiewiórowski, europejski inspektor ochrony danych.
Dla każdego z nas przestępstwa przeciwko dzieciom są najohydniejszym sposobem wykorzystywania internetu, jaki można sobie wyobrazić, i jednym z najohydniejszych rodzajów przestępstw w ogóle. Natomiast stawianie sprawy tak, że poświęcamy wolność na rzecz pewnych narzędzi, które – jak nam się wydaje – mogą pomóc w walce z przestępstwami przeciwko dzieciom, nie jest dobrą alternatywą.
Nie jestem przeciwny samemu rozporządzeniu. Wprowadza ono choćby obowiązek oceny, na ile usługa dostarczana w sieci może być groźna dla dzieci. To bardzo cenna analiza. Natomiast mam duże wątpliwości wobec stałego monitorowania komunikacji w sieci, czyli – mówiąc brutalnie – podsłuchu rozmów sieciowych, który KE chce wprowadzić. Sprzeciwiam się też narzędziom, które służą do odczytywania szyfrowanej komunikacji między użytkownikami (end-to-end encryption – E2EE).
Warto wspomnieć, że to nie pierwszy raz, kiedy takie rozwiązania są forsowane. Te same mechanizmy miały być odpowiedzią na zagrożenie terroryzmem.
Wprowadzenie takich rozwiązań jest przekroczeniem Rubikonu. Już dziś ze strony policji słychać, że te narzędzia byłyby przydatne także do zwalczania innych poważnych przestępstw. Niewiele dzieli nas od zadania pytania, czy właściwie istnieją przestępstwa niepoważne. I w ten sposób – krok po kroku – dochodzimy do rutynowej inwigilacji całej komunikacji sieciowej.
Rozwiązania wprowadzane rozporządzeniem CSAM są groźne dla naszego rozumienia internetu jako miejsca wymiany informacji. Również takich, które są tajne czy szczególnie chronione, jak choćby tajemnice zawodowe (np. lekarska i adwokacka) czy tajemnica przedsiębiorstwa.
Każda osoba zapytana, czy chce chronić dzieci w internecie, odpowie, że tak. Tyle że nie wszystkie środki, które można zastosować, są warte tego, żeby ich użyć. Chciałbym podkreślić, że każdy, kto pracuje nad tym rozporządzeniem, z pewnością ma dobre chęci. Natomiast część organizacji społecznych forsuje przy tym zbyt daleko idące środki. My w biurze EIOD codziennie widzimy konsekwencje, jakie dla obywateli ma głęboka ingerencja w prywatność.
Do dziś pamiętam, jak w 1982 r. – byłem wówczas w podstawówce – mieliśmy spotkanie z milicjantem. Tłumaczył nam, dlaczego są podsłuchiwane rozmowy telefoniczne. Mówił, żebyśmy się nie przejmowali, ponieważ oni szukają tylko złych ludzi. Pamiętam, że jako 11-latek zastanawiałem się, kto decyduje, czy moi rodzice są dobrzy, czy źli. To dylemat bardzo podobny do tego, jaki rozstrzygamy w tej chwili.
Udało się. Te dane, które zgodnie z decyzją EIOD Europol miał zniszczyć, jeśli nie doszłoby do określenia ról osób – ofiara, sprawca czy świadek itp. – zostały ostatecznie skategoryzowane na czas.
Zarzuty zgłoszone do TSUE nie dotyczą Europolu, tylko przepisów, które umożliwiły dokonywanie oceny gromadzonych przez Europol danych wstecznie, tzn. za okres sprzed decyzji europejskiego inspektora ochrony danych (wydanej w styczniu 2022 r. – red.). Zdajemy sobie sprawę z tego, że Parlament Europejski i Rada mają prawo podejmować decyzje o tym, w jaki sposób Europol będzie przetwarzał dane w przyszłości, oraz że sposoby przetwarzania tych danych stanowią wyjątek od zasady ochrony prywatności – i jest to wyjątek uzasadniony i w odpowiedni sposób zminimalizowany.
To nieustanny wyścig, ponieważ te same lub podobne rozwiązania technologiczne, które służą zwiększaniu ochrony jakiegoś zakresu informacji, mogą też zostać wykorzystane przez przestępców. To jest część dyskusji, którą teraz prowadzimy na temat szyfrowania komunikacji internetowej i zagrożeń związanych z jego osłabianiem. Każde tylne drzwi do sposobów szyfrowania, z których dzisiaj korzystają organy bezpieczeństwa i organy ścigania, jutro będą używane przez przestępców.
Kto nie zdaje sobie z tego sprawy, powinien sobie przypomnieć Eterna Blue – rozwiązania przygotowane przez Amerykańską Agencję Bezpieczeństwa (NSA), które miały umożliwiać dostęp do systemów informatycznych przeciwników. Zostały one wykradzione z NSA i użyte przez zorganizowane grupy przestępcze. Podobnie metody łamania kryptografii, które miałyby zostać wprowadzone z pomocą rozporządzenia CSAM, jutro znajdą się w rękach przestępców i będą używane do odwrotnych celów.
Z taką sytuacją mamy do czynienia w całości prawa, nie tylko w kwestiach dotyczących praw podstawowych i nie tylko w przypadku prawa do prywatności. Kiedy pojawiają się nowe rozwiązania technologiczne, zawsze dokonujemy ponownej analizy, ponownego nazwania i zdefiniowania zasad, problemów i zagrożeń.
Naszym zadaniem jest ocena wpływu regulacji na ochronę danych osobowych. Natomiast jeśli miałbym wskazać kierunki, pomocne byłoby na pewno wprowadzenie skutecznego sposobu na ustalenie wieku użytkownika usługi internetowej. W tej chwili go nie mamy.
Okazanie dowodu osobistego to tylko jeden ze sposobów, w dodatku rodzi wiele problemów. Łatwo np. posłużyć się dowodem osobistym innej osoby. O to zresztą rozbija się także pomysł głosowania przez internet.
Zwracamy na to uwagę w naszej opinii o tym projekcie. KE chce umożliwić biometryczne zdalne rozpoznawanie twarzy w czasie rzeczywistym w miejscach publicznie dostępnych. Pozostawienie takiej możliwości nawet jedynie organom ścigania, sprawi, że nikt nigdy nie będzie już mógł sądzić, że jest anonimowy. Tutaj zresztą też zastosowano wytrych, że miałoby to służyć ściganiu przestępstw przeciwko dzieciom. Na razie trwa jednak trialog, czyli uzgodnienia między PE, KE i Radą, więc nic nie jest postanowione.
To się okaże dopiero w praniu. Ważniejszą kwestią jest, kto tego typu przypisania miałby dokonywać i na jakim poziomie: czy w ramach aktów wykonawczych, czy też decyzji wydawanych przez Komisję Europejską.
Jesteśmy w EIOD zwolennikami sporej elastyczności listy zastosowań AI wysokiego ryzyka z jednoczesnym nakazem analizy efektów tych przepisów w stosunkowo krótkich okresach, co dwa lata. Co kilka miesięcy będziemy mieli do czynienia z kolejną rewolucją technologiczną, która przyniesie nowe wyzwania.
Takie same jak w większości krajów UE i świata. W Unii jest to przede wszystkim prawidłowe wdrożenie RODO. Po pięciu latach jesteśmy na etapie kontroli sądowej wydanych decyzji, nie umożliwiono wciąż w pełni reprezentacji interesów osób przez organizacje społeczne. Wszystkie kraje mają tu sporo do zrobienia. Do tego współpraca międzynarodowa i transfery danych osobowych poza Unię, szczególnie do krajów innych niż Stany Zjednoczone.
Jest to spowodowane skalą transferów, bo mnóstwo usług chmurowych korzysta z przechowywania danych na terenie Stanów Zjednoczonych.
System zaproponowany obecnie jest lepszy od poprzednich porozumień: Bezpiecznej przystani i Tarczy prywatności. Przedstawiciele Komisji Europejskiej, którzy prowadzili negocjacje z USA, tym razem zarobili na swoje wynagrodzenie. W tekstach aktów prawnych przyjętych po stronie amerykańskiej pojawiły się rozwiązania dotyczące ochrony danych, których do tej pory tam nie było. Pytanie, na ile one będą możliwe do wdrożenia w praktyce.
Jednym z najrozsądniejszych sposobów jej wzmacniania jest nakazywanie tym, którzy tworzą różne rozwiązania, żeby zastanowili się nad ich celowością. Dobrym przykładem są kamery przemysłowe. Zanim się je gdzieś umieści, warto przeprowadzić ocenę tego, do czego tak naprawdę ta kamera ma służyć i kto ma mieć do niej dostęp. Powiedzmy, że umieszczamy kamery w szpitalu. W pewnych miejscach – jak OIOM – ich użycie jest wskazane, w innych – jak korytarze – już nie. Dostęp do danych w niektórych przypadkach powinni mieć tylko lekarze i władze szpitala, w innych ochroniarze.
W tym zakresie projektowane przepisy dotyczące ochrony dzieci nie są złe, bo przewidują obowiązek oceny, na ile usługi jakiegoś podmiotu mogą budzić zagrożenie. Powinien jej dokonać każdy przedsiębiorca.
Grupa podmiotów, które powinny brać pod uwagę bezpieczeństwo dzieci na swoich platformach, na pewno okaże się bardzo szeroka. Nie mówimy tylko o Facebooku czy Instagramie. To także Genshin Impact, Roblox, Fortnite i inne gry, które mają możliwość czatu. ©℗