Otevřený dopis ministru vnitra: plošné skenování on-line komunikace nevyřeší problematiku zneužívání dětí
Zveřejňujeme otevřený dopis, který jsme dnes zaslali Vítu Rakušanovi. Právě Ministerstvo vnitra teď v Česku hraje hlavní roli v příběhu Nařízení CSA, jehož cílem je plošné skenování digitální komunikace za účelem zachytávání nevhodného materiálu.
Otevřený dopis s výzvou k ochraně práva na soukromí elektronické komunikace v souvislosti s přípravou tzv. CSA nařízení
v Praze dne 12. 9. 2023
Vážený pane ministře,
obracím se na Vás jménem nevládní organizace Iuridicum Remedium, z. s. jakožto na vrcholného představitele ministerstva, v jehož kompetenci je formulace národní pozice k chystanému nařízení Evropského parlamentu a Rady, kterým se stanoví pravidla pro předcházení pohlavnímu zneužívání dětí a boj proti němu (dále jen „Nařízení CSA“).
Dle plánu by dne 28. září 2023 mělo proběhnout důležité jednání Rady pro spravedlnost a vnitřní věci Rady EU, kterým Rada zaujme stanovisko k návrhu Nařízení CSA předloženého Komisí. Tímto bychom rádi požádali, aby při rozhodování o tom, jaké stanovisko ve věci česká vláda zaujme, byla zohledněna zásadní nebezpečí pro lidská práva a zejména pak právo na soukromí a ochranu listovního tajemství, která jsou s aplikací Nařízení v podobě předložené Komisí spojena.
Rozumíme potřebě chránit děti před sexuálním zneužíváním a tuto ochranu přizpůsobovat technologickým změnám, které dopadají i na změny ve způsobech páchání této trestné činnosti, nicméně Komisí zvolený postup považujeme za alibistický a ve výsledku škodlivý i z pohledu problému, k jehož řešení má přispět.
Plošné sledování elektronické komunikace (tzv. chat control), s nímž Nařízení přichází, je v požadované podobě technicky nerealizovatelné, ohrožuje samotnou podstatu ochrany osobních údajů a prevence datových úniků formulovanou legislativou chránící osobní údaje v čele s GDPR, a může fakticky vést paradoxně k zhoršení bezpečnostní situace bez jakéhokoli pozitivního efektu.
Žádáme vás proto tímto o to, aby Česká republika nepodpořila schválení tohoto Nařízení a to zejména z následujících důvodů:
1) Plošné sledování elektronické komunikace je v rozporu s evropským právem
Soudní dvůr vydal již sérii rozhodnutí ve věci tzv. data retention (plošného sledování metadat o elektronické komunikaci), která navazují na rozhodnutí ve věci Digital Rights Ireland rušící tzv. směrnici o data retention. V těchto rozhodnutích došel k závěru, že plošné sledování elektronické komunikace je v rozporu s primárním právem EU.
Je třeba zdůraznit, že Soudní dvůr se v daných rozsudcích věnoval sledování provozních a lokalizačních údajů o komunikaci. V Nařízení je požadováno skenování veškerého obsahu elektronické komunikace, což je ještě invazivnější zásah, než ten, který soudní dvůr EU označil opakovaně za nepřípustný.
2) Neexistuje technologické řešení jak skenovat obsah a přitom zabránit vážnému narušení soukromí
S myšlenkou vyhledávání pornografického obsahu v uživatelské komunikaci přišla v roce 2021 americká společnost Apple. Záměr byl nakonec opuštěn z důvodu technologického nezvládnutí opatření proti zneužití. Ředitel společnosti pro ochranu soukromí a ochranu dětí Erik Neuenchwander uvedl, že nebylo prakticky možné skenovat fotografie, aniž bychom ohrozili bezpečnost a soukromí našich uživatelů.
Evropská komise navrhuje plošné skenování komunikace, přičemž ale blíže nespecifikuje, jak by mělo skenování probíhat, kupříkladu v jaké fázi přenosu dat by k němu mělo docházet. Faktem je, že v tuto chvíli neexistují technologické nástroje, které by dokázaly odhalovat nelegální komunikaci a sdílení dětské pornografie, aniž by znamenaly závažný zásah do soukromí občanů, kteří sdílí zcela legální obsah, včetně obsahu důvěrného. Tyto a další nedostatky jsou kritizovány ze strany akademické obce a lidskoprávních organizací v otevřených dopisech.
Plošný zásah do soukromí má pak negativní dopady na celé fungování demokratické společnosti a další lidská práva, zejména svobodu projevu nebo na právo na informace.
3) Falešná hlášení a zahlcení bezpečnostních složek
Technologie, které jsou v současné době dostupné, v řadě případů selhávají při vyhodnocení. Toto může vést k řadě „falešných poplachů“, které budou zaměstnávat bezpečnostní složky, které ze zákona musí každé takové hlášení prověřit. Na chybové vyhodnocování obsahu, či nemožnost detekce lehce pozměněných obrázků upozorňují i protestní otevřené dopisy akademiků. Jako je například stanovisko Joint statement of scientists and researchers on EU’s proposed Child Sexual Abuse Regulation podepsané k 31. červenci 465 vědci a akademiky z 38 zemí světa. Vědci také upozorňují například na problém tzv. young-looking adults. S pochybnostmi o spolehlivosti detekce se na Komisi obrátila mj. i německá vláda.
V daném případě je ale třeba zdůraznit i zásah do soukromí samotných dětí, které má Nařízení chránit. V řadě případů jsou autory erotického materiálu samotné (i věkově trestně neodpovědné) děti, které jej publikují, respektive rozesílají online, ať už na základě ovlivnění jinou osobou, ale často i z vlastní vůle. Tzv. self-generated obsah je dle Internet Watch Foundation exponenciálně vzestupnou kategorií zejména v posledních letech. Případné prověřování věci ze strany bezpečnostních složek by pro děti mohlo být mnohem více traumatizující, než možné negativní důsledky sdílení citlivého obsahu. Pro takové případy by mohlo být efektivnější a více proporcionální uvažovat o jiných preventivních nástrojích, aby k takovému jednání ze strany dětí vůbec nedocházelo.
S mírou falešných hlášení pak souvisí i otázka kapacit bezpečnostních složek. Pokud jde o praktické dopady Nařízení, lze předpokládat nárůst oznámení o pohlavním zneužívá dětí. Trestné činy související s dětskou pornografií (§ 191 a § 192 TZ) jsou ve statistice PČR za rok 2022 zastoupeny počtem 780 evidovaných případů (meziroční nárůst o 24,4 %). Objasněnost této trestné činnosti zůstala za rok 2022 57,4 % a za rok 2021 53,3 % při 627 evidovaných případech.
Důvodová zpráva Nařízení argumentuje dosavadním záchytem problémového obsahu v euroatlantickém prostoru v řádech desítek milionů případů ročně. Otázkou je, jaký bude nápor agendy na zainteresované subjekty a jejich vyšetřovací, personální a finanční kapacitu. Za úvahu stojí též skutečnost s relativně nízkou objasněností tohoto druhu trestní činnosti. V kontextu Nařízení jde o dotčené orgány v podobě Evropského střediska pro prevenci a potírání pohlavního zneužívání dětí, národních koordinačních orgánů, Europolu, národních (soudních) orgánů vydávajících detekční nebo blokovací příkazy a v podobě národních vyšetřovacích orgánů, potažmo trestních soudů. Kapacitní zatížení bude realizace Nařízení představovat i pro dotčené poskytovatele online služeb, minimálně pokud jde o požadavek lidského dohledu nebo lidského zásahu v rámci detekčního mechanismu.
4) Pachatelé trestné činnosti budou mít řadu již existujících nástrojů, jak se sledování vyhnout
Pachatelé trestné činnosti mají eminentní zájem na utajení této trestné činnosti. To se ovšem nedá říci o většinové populaci, která soukromí komunikace nevěnuje často až takovou pozornost. Již v současné době existuje řada tzv. open source komunikačních aplikací na principu koncového šifrování jako např. aplikace Element postavená na protokolu Matrix. Tuto a další platformy lze z povahy otevřenosti jejich zdrojového kódu volně šířit bez nějaké centrální autority, která by teoreticky mohla podléhat donucení skrze sankční mechanismy. Evropská komise svým Nařízením hodlá přimět stávající poskytovatele k úpravě jejich komunikačních platforem. Ovšem s tak závažným narušením práva na soukromí skrze monitoring soukromé komunikace lze předpokládat, že uživatelé, a především ti, vůči nimž původní myšlenka nařízení směřuje, budou hledat alternativní komunikační platformy, aby se cílenému skenování vyhnuli.
Příkladem lze uvést nárůst uživatelů aplikace Signal o cca 4200 %, když Facebook oznámil zamýšlené propojení uživatelských databází společnosti Facebook a WhatsApp po předchozí akvizici. Tento počin byl silně vnímán jako ztráta soukromí uživatelů WhatsApp, kteří následně ve velkém migrovali ke konkurenční aplikaci Signal. Na skutečnost, že pachatelé této trestné činnosti vyhledávají pro své aktivity „skryté kanály“ upozorňuje též Europol.
5) Otevření elektronické komunikace útočníkům
Každé zavedení možnosti skenovat obsah elektronické komunikace vede k oslabení ochrany dat a informací nejen ze strany toho, kdo data skenuje, ale i potenciálních dalších útočníků. Toto jde proti zásadám nastaveným evropskou regulací ochrany osobních údajů v čele s obecným nařízením o ochraně osobních údajů (tzv. GDPR). Jedním z důležitých nástrojů ochrany dat je jejich šifrování. Nástroje sloužící k šifrování pak v řadě případů znemožňují samotným poskytovatelům služeb přistupovat k přenášenému obsahu. Toto tzv. end-to-end šifrování je běžně používáno v komunikačních platformách jako je Whats-App nebo Signal.
Pokud by mělo být Nařízení uplatňováno v praxi, tak to povede k významnému ohrožení možnosti chránit osobní údaje před útočníky. O zranitelnosti systému se zadními vrátky pojednává také NGO Center for Democracy & Technology: „fundamentálním problémem se zadními vrátky je to, že není způsob ohlídat, kdo jimi projde“.
6) Otevření prostoru pro omezování práva na soukromí v dalších oblastech
Další obavy panují ohledně toho, že nelze vyloučit zneužití „zadních vrátek“ systému pro účely neslučitelné s demokratickou formou vlády, tedy sledování např. novinářů, whistleblowerů, advokátů nebo politiků. Pokud dojde k technologické implementaci systému schopného analyzovat soukromé zprávy, není nemožné, aby národní vlády rozšířily detekční příkazy o povinnost zachycovat např. informace ohrožující národní bezpečnost a posléze třeba komunikaci politické opozice. Zneužití hrozí i ze stran samotných poskytovatelů, kteří mohou tento nástroj využívat k vytěžování klientských dat.
Vážený pane ministře, věřím, že budete tomuto vážnému problému věnovat maximální pozornost a zohledníte výše uvedené připomínky v následných krocích v rámci legislativního procesu Nařízení CSA. Jak už jsme uvedli výše, i my považujeme zneužívání dětí či šíření dětské pornografie za velmi vážný problém. Radikální kroky navrhované Komisí však v případě jejich schválení k řešení tohoto problému nijak nepřispějí a naopak povedou ke vzniku jiných vážných problémů a ohrožení práv a svobod všech občanů. Řešením není plošné sledování, ale plošné prevenční programy, investice do hot-linek, jakož i důsledné vymáhání již stávajících pravidel (Směrnice Evropského parlamentu a Rady 2011/93/EU o boji proti pohlavnímu zneužívání a pohlavnímu vykořisťování dětí a proti dětské pornografii z roku 2011) či využití nových možností, které přináší například Akt o digitálních službách.
S pozdravem,
Mgr. Jan Vobořil, Ph.D.
výkonný ředitel Iuridicum Remedium, z. s.