Конец сквозному шифрованию в мессенджерах: что такое Chatcontrol от ЕС и чем он опасен?

Что произошло?

Европейские власти намерены принять инициативу, которая может положить конец сквозному шифрованию и тайне переписки в мессенджерах, а также в электронной почте.

В июле этого года Европарламент одобрил постановление, получившее названия ePrivacy derogation («отступление от интернет-приватности») или Chatcontrol, которое разрешает временный отход от европейских правил конфиденциальности в Сети, включая общий регламент по защите данных (GDPR).

По задумке чиновников, закон будет действовать не более трёх лет, пока Евросоюзу не удастся согласовать новые постоянные правила борьбы с сексуальным насилием над детьми в Интернете.

Да, как и в случае с резонансной CSAM-инициативой Apple, заявленная цель Европарламента — борьба с детской порнографией. Однако эксперты уже прогнозируют не самый приятный результат — массовую слежку и полную утрату конфиденциальности интернет-переписки.

Суть инициативы заключается в том, что она позволяет поставщикам услуг электронной почты и обмена сообщениями иметь системы мониторинга, которые в автоматическом режиме просматривают абсолютно все переписки между пользователями на предмет содержания в них «подозрительного контента». А затем сообщают о нём в полицию и другие государственные и негосударственные организации.

При этом в сентябре Европарламент рассмотрит вопрос уже не о добровольном, а об обязательном использовании таких систем со стороны всех IT-компаний, которые владеют мессенджерами и сервисами электронной почты.

Как это повлияет на пользователей?

Депутат Европейского парламента от Немецкой партии пиратов Патрик Брейер в своём блоге перечислил список рисков, с которыми могут столкнуться пользователи в случае вступления европейского закона в силу.

• Абсолютно все переписки в мессенджерах и электронные письма будут проверяться на предмет подозрительного контента. Ничто не останется конфиденциальным или тайным. Для сканирования сообщений пользователей не понадобится судебных решений и даже подозрений. Это будет происходить всегда и автоматически.
• Если алгоритм классифицирует контент в переписке как подозрительный, то личные и интимные фотографии пользователей могут быть просмотрены сотрудниками и подрядчиками международных корпораций и правоохранительных органов. То есть абсолютно незнакомыми людьми, в чьих руках они могут представлять вполне осязаемую опасность.
• Алгоритмы также могут ошибочно срабатывать на флирт и секстинг, что автоматически сделает подобные личные переписки доступными сотрудникам и подрядчикам международных корпораций и правоохранительных органов.
• Алгоритмы могут ложно сработать на законопослушных пользователей, так как зачастую срабатывают на абсолютно легальные фотографии, например, детей на пляже.
• Во время поездки за границу пользователей могут ожидать большие проблемы, так как автоматически сгенерированные отчеты могут быть доступны правоохранительным органам других стран, например, таких как США, где нет регулирования в области персональных данных.
• Спецслужбы и хакеры смогут шпионить за личными чатами и электронной почтой пользователей. Потенциальный бэкдор будет доступен для всех, у кого есть технические средства для перехвата переписки, так как будет отключено сквозное шифрование.

По словам Брейера, это только начало, и как только подобные системы будут установлены повсеместно, их станет крайне легко использовать и для других целей.

Соблюдение Chatcontrol вынудит разработчиков онлайн-сервисов добавлять в свои продукты бэкдоры, которыми также смогут воспользоваться далеко не те, для кого они предусматривались изначально, например, иностранные спецслужбы или преступники. Таким образом могут быть раскрыты деловые секреты и правительственная информация, отмечает Брейер.

Депутат Европарламента напомнил, что сквозное шифрование необходимо для защиты меньшинств, ЛГБТ-сообщества, демократических активистов, оппозиционеров в авторитарных государствах, журналистов и так далее. Более того, сами жертвы детского насилия лишаться анонимного и безопасного способа сообщить о своих проблемах правоохранительным органам, адвокатам и психологам.

При этом, по словам Брейера, предлагаемый законопроект не содержит требований к прозрачности используемых алгоритмов.

Кто против, чему противоречит и что дальше?

Ожидаемо, инициатива вызвала жаркие споры даже внутри Европарламента, не говоря уже о публичных обсуждениях, в рамках которых 72% опрошенных граждан из 10 стран ЕС высказались против постоянного контроля за своей активностью в интернете.

По словам депутата Европарламента от Нидерландов Софи Ин’т Велд, при обсуждении документа законодатели подвергались «моральному шантажу»:

Стоило нам задать острые вопросы по существу, сразу же высказывались сомнения в моей приверженности борьбе с детской порнографией, — указала парламентарий.

О давлении на членов Европарламента рассказала также депутат от Германии Биргит Сиппель:

Было большое давление просто для того, чтобы сделать что-то очень и очень быстро и прийти к соглашению, — отметила Сиппель.

По словам бывшего судьи Суда Европейского союза Доктора Нинона Колненика, законопроект нарушают фундаментальные права граждан, в частности, Статьи 7 и 8 Европейской хартии, в которых говорится об уважении частной и семейной жизни и защите данных личного характера соответственно. Вместе с тем Chatcontrol противоречит Общему регламенту по защите данных ЕС (GDPR) и прецедентному праву Европейского суда, которое запрещает постоянный и всеобъемлющий автоматизированный анализ частных переписок (пункт 177).

В связи с неоднозначной реакцией парламентариев и общественности, комиссар ЕС по внутренним делам Илва Йохансон отложила рассмотрение инициативы до сентября 2021 года.

До этого времени члены Европарламента должны доработать инициативу, добавив в него дополнительные меры контроля, включая привлечение европейских наблюдателей и экспертов в области конфиденциальности. Кроме того, европейские власти должны будут подготовить список конкретных технологий, которые смогут или не смогут использоваться в рамках сканирования пользовательских переписок.

Однако, даже если Европарламент примет доработанную инициативу, её должен будет утвердить Совет Европы. При этом некоторые парламентарии уверены, что против Chatcontrol в итоге выступит Европейский суд, который, по их мнению, не сможет закрыть глаза на такое количество противоречий с законами, касающимися конфиденциальности.

Отличия от детектирования CSAM в устройствах Apple

О связанной с поиском CSAM-контента инициативе в августе объявила компания Apple, однако купертиновцы в своих заявлениях чётко ограничили границы и принципы сканирования пользовательских данных.

В отличие от намерений Европарламента сканировать вообще все переписки во всех мессенджерах, Apple собирается проверять лишь фотографии, находящиеся в облачном хранилище iCloud, а также изображения из переписок в собственном мессенджере iMessage. При этом анализ переписок будет осуществляться только на устройствах детей до 17 лет, а данные о об отправке или получении сексуального контента будут передаваться исключительно родителям. Кроме того, сканирование затронет лишь изображения, «читать» текстовый контент алгоритмы вовсе не будут.

Что касается фотографий в iCloud, то в случае обнаружения CSAM-контента, Apple будет отчитываться об опасных случаях в Национальный центр пропавших и эксплуатируемых детей (НЦИЭД) или правоохранительные органы после проверки на ошибочное срабатывание алгоритмов. При этом если пользователь отключит синхронизацию фотографий с iCloud, то соответствующие сканирование осуществляться не будет.

Как и Chatcontrol, инициатива Apple вызвала шквал критики, однако на бумаге она выглядит гораздо более точечной и взвешенной. По крайней мере, понятны технологии и принципы, согласно которым будет осуществляться анализ личного контента пользователей. К тому же нововведения Apple пока будут работать исключительно в США и в соответствии с американскими законами.

Заключение

Предсказать, чем закончится связанное с Chatcontrol сентябрьское заседание Европарламента, увы, пока невозможно. В том виде, в котором инициатива была представлена в июле, пройти через Совет Европы и Европейский суд ей вряд ли удастся. Однако, если депутаты все же конкретно и точно пропишут принципы и технологии сканирования, очертят границы и системно привлекут сторонних наблюдателей, то пройти этот законопроект все же может.

Так или иначе, сам факт обсуждения и существования подобных инициатив на государственном уровне представляет собой большую угрозу сквозному шифрованию и другим технологиям, обеспечивающим безопасность и конфиденциальность частных коммуникаций. Не говоря уже о правах граждан на тайну переписки, неприкосновенность частной жизни и защиту персональных данных. А вместе ними под угрозу попадают и такие сервисы как Telegram или Signal, которые ставят принципы безопасности и конфиденциальности во главу угла.