Ochrona dzieci w sieci jest sprzeczna z przepisami. Unia Europejska zapędziła się w kozi róg

Unia Europejska od lat buduje jeden z najbardziej restrykcyjnych systemów ochrony prywatności na świecie. Teraz ten sam system zaczął blokować działania, które miały zwiększyć bezpieczeństwo najmłodszych użytkowników internetu. W Brukseli narasta problem, którego nie da się już ukryć za kolejnymi projektami ustaw i aplikacji, a próba pogodzenia prywatności z ochroną dzieci zaczęła rozsypywać się na oczach całej branży.

3 kwietnia Parlament Europejski odrzucił przedłużenie tymczasowego wyjątku od dyrektywy ePrivacy. Dzięki temu rozwiązaniu platformy takie jak Meta, Google czy Microsoft mogły dobrowolnie analizować prywatne wiadomości użytkowników w poszukiwaniu materiałów przedstawiających seksualne wykorzystywanie dzieci. Głosowanie zakończyło się wynikiem 311 do 228, a wraz z nim zniknęła prawna podstawa dla takich działań.

Kilka dni później Komisja Europejska pokazała nową aplikację do weryfikacji wieku użytkowników. Projekt miał być odpowiedzią na rosnącą falę krytyki wobec mediów społecznościowych i łatwego dostępu nieletnich do szkodliwych treści. Problem w tym, że badacze bezpieczeństwa znaleźli sposób na obejście zabezpieczeń w chwilę publicznej prezentacji.

Europa chciała stworzyć najbezpieczniejszy internet dla najmłodszych, ale to własne regulacje mogą okazać się największą przeszkodą.

System, który zaczął walczyć sam ze sobą

Europejskie regulacje miały stworzyć bezpieczniejszy internet dla dzieci, ale zamiast tego coraz częściej prowadzą do sytuacji, w której kolejne przepisy wzajemnie się wykluczają. RODO ogranicza możliwość gromadzenia danych o użytkownikach, zwłaszcza o nieletnich. Ustawa o usługach cyfrowych jednocześnie nakłada na platformy obowiązek ochrony dzieci przed szkodliwymi treściami. Projekt rozporządzenia CSA, znany jako Chat Control, miał zmusić firmy do wykrywania materiałów przestępczych w prywatnych wiadomościach.

Każdy z tych aktów wymaga jednak jednego elementu, ustalenia, czy użytkownik jest dzieckiem. A to oznacza konieczność przetwarzania danych, których zgodnie z unijnymi zasadami firmy nie powinny zbierać. To właśnie tutaj europejski model ochrony prywatności zaczął zderzać się z własnymi fundamentami.

Szyfrowanie stało się granicą nie do przejścia

Jeszcze większe napięcie pojawiło się wokół szyfrowania komunikatorów. Europejski Trybunał Praw Człowieka w lutym uznał, że wymuszanie osłabiania szyfrowania narusza podstawowe prawa obywateli i jest to jasny sygnał dla unijnych regulatorów, którzy bardzo by chcieli rozszerzyć kontrolę nad komunikacją online. Same firmy również nie są chętne do słabiania szyfrowania, a jeśli to nastąpi, to część usług może po prostu wycofać się z europejskiego rynku. Takie ostrzeżenia płynęły już ze strony twórców komunikatorów stawiających prywatność na pierwszym miejscu.

W praktyce oznacza to, że Europa chce skuteczniej walczyć z przestępczością wobec dzieci, ale jednocześnie nie może użyć narzędzi, które pozwoliłyby to zrobić w prywatnych kanałach komunikacji.

Aplikacja, która miała być ratunkiem

Komisja Europejska liczyła, że problem rozwiąże nowoczesna technologia. Zaprezentowana 15 kwietnia aplikacja do weryfikacji wieku miała potwierdzać pełnoletność bez ujawniania tożsamości użytkownika. Brzmiało to jak kompromis między prywatnością a bezpieczeństwem.

W teorii platforma miała otrzymywać jedynie informację, czy użytkownik przekroczył określony próg wiekowy. Bez nazwiska, bez daty urodzenia, bez dodatkowych danych. W praktyce system został błyskawicznie złamany. Eksperci pokazali, że zabezpieczenia można ominąć niemal natychmiast. To uderzyło w wiarygodność projektu, który miał być technologicznym dowodem na to, że ochrona dzieci i prywatności może iść w parze.

Bruksela ma coraz mniej czasu

Najważniejsze rozstrzygnięcie wciąż pozostaje przed Unią Europejską. Negocjacje wokół rozporządzenia CSA trwają już od kilku lat, a polityczny termin osiągnięcia porozumienia wyznaczono na lipiec.

W kuluarach mówi się o kompromisie, który ograniczyłby obowiązkowe skanowanie do niezaszyfrowanych platform i znanych materiałów CSAM wykrywanych metodą dopasowywania cyfrowych odcisków plików. Taki wariant nie satysfakcjonuje jednak ani organizacji walczących o prawa dzieci, ani obrońców prywatności.

Jedni twierdzą, że bez dostępu do zaszyfrowanych wiadomości nowe przepisy będą symboliczne. Drudzy ostrzegają, że stworzenie infrastruktury do monitorowania komunikacji może otworzyć drogę do znacznie szerszej kontroli internetu.

Europa utknęła we własnej pułapce

Największy problem polega dziś na tym, że Unia Europejska próbuje jednocześnie bronić dwóch wartości, które technologicznie coraz trudniej pogodzić. Ochrona dzieci wymaga głębszej kontroli środowiska cyfrowego, a ochrona prywatności wymaga ograniczenia takiej kontroli do minimum.

Każde kolejne rozwiązanie pokazuje, że tej sprzeczności nie da się łatwo usunąć. Wygasł wyjątek umożliwiający dobrowolne skanowanie wiadomości. Aplikacja do weryfikacji wieku nie przetrwała pierwszego testu, a nowe przepisy nadal pozostają w politycznym impasie.