Signal, DuckDuckGo i NordVPN grożą opuszczeniem Kanady. Rząd chce zbierać dane użytkowników

Kanada znalazła się na kursie kolizyjnym z częścią największych firm walczących o prywatność użytkowników w internecie. Signal, DuckDuckGo i NordVPN ostrzegają, że mogą wycofać swoje usługi z kraju, jeśli rząd zdecyduje się przyjąć kontrowersyjną ustawę C-22. Proponowane przepisy przewidują obowiązek przechowywania metadanych użytkowników nawet przez rok oraz udostępniania ich organom ścigania w ramach prowadzonych dochodzeń.

Signal, uznawany za jeden z najbezpieczniejszych komunikatorów na świecie, otwarcie skrytykował projekt ustawy. Dyrektor wykonawczy firmy Udbhav Tiwari podczas przesłuchania przed parlamentarną komisją ds. bezpieczeństwa stwierdził, że nowe przepisy mogą przekształcić codzienne narzędzia komunikacji w system monitorowania aktywności użytkowników.

Według przedstawicieli Signala wymóg przechowywania metadanych stoi w sprzeczności z filozofią działania platformy. Firma od lat podkreśla, że gromadzi minimalną ilość informacji o użytkownikach i celowo projektuje swoje usługi w taki sposób, aby nawet sama nie miała dostępu do szczegółowych danych dotyczących komunikacji. Jeszcze dalej poszedł DuckDuckGo. Przedstawiciele firmy zapowiedzieli, że jeśli ustawa wejdzie w życie, usługa VPN oferowana przez przedsiębiorstwo zostanie wycofana z kanadyjskiego rynku.

Podobne stanowisko zajęli także przedstawiciele NordVPN oraz innych dostawców narzędzi do ochrony prywatności.

Signal, DuckDuckGo i NordVPN wysyłają jasny sygnał: są gotowe opuścić duży rynek, jeśli uznają, że nowe przepisy naruszają podstawowe zasady prywatności.

Czym są metadane i dlaczego wywołują tyle sporów?

Choć projekt ustawy nie wymaga przechowywania treści wiadomości, koncentruje się na metadanych związanych z aktywnością użytkowników.

To informacje opisujące komunikację, takie jak czas połączenia, identyfikatory urządzeń, adresy IP, lokalizacja czy dane dotyczące nadawcy i odbiorcy. Dla wielu osób brzmi to mniej groźnie niż przechwytywanie samych wiadomości, jednak eksperci od bezpieczeństwa od lat zwracają uwagę, że metadane potrafią ujawnić niezwykle szczegółowy obraz życia użytkownika. Na ich podstawie można odtworzyć sieć kontaktów, harmonogram aktywności, miejsca pobytu czy wzorce zachowań.

Właśnie dlatego organizacje zajmujące się ochroną prywatności traktują obowiązkową retencję metadanych niemal równie poważnie jak próby uzyskania dostępu do zaszyfrowanej komunikacji.

Apple i Google również alarmują

Sprzeciw wobec projektu nie ogranicza się do firm specjalizujących się w ochronie prywatności. Do grona krytyków dołączyły także Apple i Google. Obie firmy ostrzegają, że nowe wymogi mogą prowadzić do osłabienia mechanizmów zabezpieczających użytkowników. Apple ma już za sobą podobny konflikt z władzami Wielkiej Brytanii. W ubiegłym roku producent iPhone'ów sprzeciwił się propozycjom, które mogły doprowadzić do stworzenia specjalnego dostępu do danych przechowywanych w usłudze iCloud.

Spory pomiędzy rządami a firmami technologicznymi dotyczące szyfrowania stają się coraz częstsze. Organy ścigania argumentują, że potrzebują nowych narzędzi do walki z przestępczością. Branża technologiczna odpowiada, że każde osłabienie zabezpieczeń może zostać wykorzystane również przez cyberprzestępców.

Największa obawa dotyczy przyszłości

Krytycy projektu C-22 zwracają uwagę na jeszcze jeden problem. Ich zdaniem infrastruktura przygotowana do przechowywania i udostępniania metadanych może być w przyszłości rozszerzana o kolejne funkcje. Wielu ekspertów przypomina, że historia internetu zna liczne przypadki, gdy rozwiązania tworzone z myślą o konkretnych zagrożeniach stopniowo otrzymywały nowe zastosowania.

Dlatego organizacje broniące praw cyfrowych twierdzą, że nawet jeśli obecny projekt nie przewiduje dostępu do treści wiadomości, tworzy fundament pod znacznie szerszy system monitorowania aktywności użytkowników.

Rząd próbuje uspokoić sytuację

Kanadyjski minister bezpieczeństwa publicznego Gary Anandasangaree zapowiedział już, że projekt zostanie zmodyfikowany. Według deklaracji rządu firmy technologiczne nie będą zmuszane do łamania szyfrowania swoich usług. To jednak nie rozwiązuje głównego punktu sporu. Obowiązek przechowywania metadanych ma pozostać częścią ustawy. Właśnie ten zapis wywołuje największy opór branży technologicznej.