Hlavní navigace

Dětská pornografie vs. šifrování zpráv. Co má přinést nové nařízení Evropské komise?

16. 5. 2022
Doba čtení: 7 minut

Sdílet

 Autor: Depositphotos
S dětskou pornografií či groomingem mají nově bojovat speciální úřady, online firmy mají závadný obsah mazat a blokovat a v některých případech i sledovat obsah zpráv, navrhuje Evropská komise.

S plánem na skenování obrázků na přítomnost dětské pornografie loni narazil Apple. Po vlně kritiky firma svůj záměr prověřovat fotky v zařízeních před jejich nahráním do iCloudu odložila. Teď přichází s návrhem daleko přísnějších opatření Evropská komise (EK). 

Navrhuje zřízení nových úřadů s rozsáhlými pravomocemi vyžadovat informace, provádět kontroly či v některých případech přikazovat automatické skenování soukromých zpráv uživatelů. Na jedné straně tady stojí snaha omezit množství dětské pornografie či pokusů o lákání citlivých materiálů z dětí online, na druhé oslabení zásadních nástrojů pro zajištění soukromí při osobních komunikaci na internetu.

Nová pravidla obsahuje minulý týden zveřejněný návrh nařízení pro prevenci proti zneužíváním dětí a boji proti němu. Kromě sjednocení evropských pravidel pro boj se zneužíváním dětí na internetu přináší také nové povinnosti pro poskytovatele připojení, provozovatele tzv. hostingových služeb umožňujících nahrávání uživatelského obsahu a služeb pro posílání zpráv (tzv. interpersonálních komunikačních služeb).

Každý členský stát má podle návrhu zřídit nezávislý úřad, který bude na potírání dětské pornografie dohlížet (nebo může dát tuto pravomoc už existujícímu úřadu). Tento úřad má mít pravomoc požadovat od online firem relevantní informace týkající se své činnosti. Má také mít právo vykonávat fyzické kontroly v jejich sídlech, aby v případě podezření na porušování nařízení mohl získat důkazní materiál. A samozřejmě má mít možnost udělovat pokuty za porušení povinností až do výše 6 % ročního obratu firmy (v případě poskytnutí chybných informací nebo odmítnutí kontroly má být maximální sankce do 1 % ročního obratu).

Úřad také má mít pravomoc žádat soudy či jiné úřady o vydání příkazu k omezení přístupu ke službě, která nařízení dlouhodobě nebo soustavně porušuje. Omezení má být časově omezené na maximálně čtyři týdny, ale úřad může žádat o jeho prodloužení (v podstatě donekonečna), pokud provozovatel služby nezačne spolupracovat a pokud omezení příliš neomezuje přístup uživatelů k legálnímu obsahu na dotyčné službě.

Příkaz k vymazání

Úřad také má mít možnost žádat soudy nebo jiné kompetentní úřady o vydání příkazů k vymazání či znepřístupnění závadného obsahu. Provozovatel online služby bude muset příkaz uposlechnout do 24 hodin od doručení příkazu (bude mít ale ještě možnost odvolat se proti příkazu k soudu). Úřad má mít zároveň právo na maximálně šest týdnů uložit provozovateli mlčenlivost o tom, že materiály smazal – pokud by zveřejnění informace nebo upozornění uživatele, o jehož obsah šlo, mohlo například narušit policejní vyšetřování. Kromě toho má úřad mít možnost závadný obsah sám aktivně vyhledávat a posílat provozovatelům služeb upozornění na případné nálezy s tím, že je mohou dobrovolně sami smazat.

Úřad má také mít právo nařídit prostřednictvím soudu nebo jiného kompetentního úřadu poskytovatelům připojení, aby blokovali konkrétní obsah s dětskou pornografií na základě seznamu úřadem dodaných a ověřených URL. Tyto příkazy mají umožnit zásah i proti obsahu na serverech mimo evropskou jurisdikci a mají být vydávány na dobu maximálně pěti let.

Systém národních úřadů má zastřešovat nová evropská agentura Středisko EU pro prevenci pohlavního zneužívání dětí a boj proti němu (EU Centre on Child Sexual Abuse). Ta má mimo jiné provozovat výše zmíněný seznam URL k zablokování, ale i databázi tzv. indikátorů odhaleného závadného obsahu, které umožňují strojovou detekci těchto materiálů – tedy nejspíše různé hashe obrázků či videí. 

Součástí databáze mají být také indikátory, které mají pomáhat odhalit dosud neznámý obsah s dětskou pornografií nebo možný grooming (čili pokusy o navazování důvěrného vztahu s dětmi za účelem jejich zneužití). Tyto identifikátory má Středisko vytvářet na základě nahlášeného závadného obsahu.

Hodnocení rizik

Jednou z nejkontroverznějších částí návrhu jsou nové povinnosti pro provozovatele tzv. hostingových služeb (mezi ty EK řadí v podstatě všechny služby, které umožňují nahrávání uživatelského obsahu) a služeb pro osobní komunikaci, jako jsou třeba WhatsApp, Signal a další. 

Návrh jim nejprve dává povinnost provádět tzv. hodnocení rizika, že jejich weby či aplikace mohou být použity k šíření dětské pornografie nebo ke groomingu. Mají v něm vzít v úvahu například zákazy podobného obsahu v rámci svých podmínek používání, jejich reálné prosazování v praxi, přítomnost či nepřítomnost funkcí pro ověření věku uživatelů, možnosti nahlášení závadného obsahu nebo například to, zda na službě může dospělý cíleně vyhledávat dětské uživatele. Tuto analýzu mají provozovatelé obvykle provádět alespoň jednou za tři roky.

Na základě posouzení pak mají provozovatelé identifikovaná rizika co nejvíce snížit. Konkrétní metody podle návrhu závisí na možnostech jednotlivých služeb. Mají být efektivní, cílená a odpovídající závažnosti rizik. Komunikačním službám, které odhalí riziko groomingu, návrh nařizuje přijmout opatření na identifikaci dětských uživatelů, aby je mohly před riziky cíleně chránit. Podobné povinnosti mají mít také provozovatelé obchodů s aplikacemi – i oni musí prověřit, jaké riziko groomingu představují všechny prodávané aplikace, a musí umět identifikovat dětské uživatele, aby je mohli cíleně před rizikem ochránit.

Příkaz k odhalování

Posouzení rizik mají firmy posílat kompetentnímu úřadu ve své zemi, který má ověřit, zda jej vypracovaly správně. Tento úřad má mít také možnost požádat soud nebo jiný kompetentní úřad o vydání tzv. příkazu k odhalování (detection order). Ten má podle Komise přicházet v úvahu v okamžiku, kdy se úřady „… domnívají, že existují důkazy o významném riziku zneužití a že důvody pro vydání příkazu k odhalování převažují nad negativními důsledky pro práva a oprávněné zájmy všech dotčených stran…“

Provozovatel hostingové nebo komunikační služby, který příkaz dostane, má mít povinnost instalovat a používat technologický nástroj na automatizované odhalování závadných materiálů či pokusů o grooming. Komise ve vysvětlujícím materiálu (Q&A) k návrhu příslušnou technologii popisuje takto:

Technologie pro odhalování známých materiálů zobrazujících zneužívání dětí jsou obvykle založeny na hashování, které vytváří jedinečný digitální otisk určitého vyobrazení. Technologie, které se v současné době používají k odhalování nových materiálů zobrazujících zneužívání dětí, zahrnují klasifikátory a umělou inteligenci. Klasifikátor je jakýkoli algoritmus, který pomocí rozpoznávání vzorů třídí data do označených tříd nebo kategorií informací. Technologie pro detekci groomingu v textových komunikacích využívají technologie pro analýzu textu a/nebo analýzu metadat. Přezkum lidským operátorem se obvykle již provádí i u nejpřesnějších technologií, jako je hashování.

Komise v návrhu několikrát říká, že nástroj se má používat jen k odhalování dětské pornografie či groomingu a k ničemu jinému a že provozovatelé musí zajistit, aby jej nikdo nezneužil nebo nepoužil neoprávněně. Pokud firma nebude mít příslušné technologie k dispozici, poskytne jí je zdarma evropské Středisko, dodává návrh. Komise také ve svých Q&A tvrdí, že úřady nebudou příkazy vydávat, pokud nebude existovat dostatečně spolehlivá technologie:

Při vydávání příkazů k odhalování musí vnitrostátní orgány přihlédnout k tomu, zda jsou příslušné technologie dostupné a vhodné. To znamená, že příkaz k odhalování nebude vydán, pokud vzhledem ke stavu vývoje technologie není k dispozici žádná technologie, která by poskytovateli umožnila příkaz k odhalování splnit.

Kritici návrhu upozorňují, že by povinnost v některých případech skenovat soukromé zprávy na přítomnost závadného obsahu musela znamenat praktické oslabení či zrušení koncového (end-to-end) šifrování. Například podle organizace EDRi by oslabení principu šifrování znamenalo obecné snížení zabezpečení komunikace i před případnými útočníky a návrh by mohl provozovatele odradit od toho, aby end-to-end šifrování vůbec používali.

Komise k tomu v Q&A obecně říká:

Navržený právní předpis zohledňuje doporučení vydaná v rámci samostatně probíhajícího procesu zahrnujícího řadu zúčastněných stran, který je zaměřen výhradně na šifrování, a to na základě usnesení Rady z prosince 2020. Zmíněná činnost ukázala, že řešení existují, ale dosud nebyla ve velkém měřítku vyzkoušena. Evropská komise bude i nadále spolupracovat se všemi relevantními zúčastněnými stranami s cílem nalézt řešení regulačních a operativních výzev a příležitostí v boji proti těmto trestným činům.

Konkrétnější ale Komise není. Z návrhu tak vlastně není jasné, jak by se komunikační služby používající koncové šifrování měly k případnému příkazu k odhalení postavit. Měly by ho odmítnout, protože není technologie, která by jim ho umožnila splnit? Nebo by měly šifrování oslabit a provést vlastně cosi jako MitM útok na vlastní uživatele?

Nové nařízení teď čeká tradiční cesta evropským legislativním procesem, během kterého se ještě může výrazně změnit. 

Autor článku

Šéfredaktor Lupa.cz a externí spolupracovník Českého rozhlasu Plus. Dříve editor IHNED.cz, předtím Aktuálně.cz a Českého rozhlasu. Najdete mě na Twitteru nebo na LinkedIn