Утечка документа о "контроле чатов": Будет ли Германия бороться за конфиденциальность?

Правительство Германии задало жесткие вопросы Комиссии ЕС по поводу планируемого закона о слежке.

Will Germany take on the fight for privacy for all Europeans?

С осени 2021 года в Германии новое правительство, и это новое правительство в своем коалиционном документе согласилось с тем, что каждый гражданин имеет "право на шифрование". Теперь правительство Германии задало Комиссии ЕС очень сложные вопросы относительно планов Комиссии по введению общих мер наблюдения для борьбы с распространением материалов о сексуальном насилии над детьми и грумингом в Интернете. Означает ли это, что Германия серьезно относится к праву каждого на шифрование?


Подняты сложные вопросы

Проект постановления Комиссии ЕС о предотвращении и борьбе с жестоким обращением с детьми - это лобовая атака на гражданские права. В своем законопроекте Комиссия ЕС описывает один из самых сложных аппаратов массового наблюдения, когда-либо развернутых за пределами Китая: сканирование CSAM (материалов о сексуальном насилии над детьми) на всех устройствах.

Правительство Германии, однако, в своем коалиционном документе согласилось с тем, что каждый гражданин имеет “право на шифрование”, которое, очевидно, будет подорвано, если законопроект Комиссии ЕС станет законом.

В просочившемся внутреннем заявлении, направленном в Комиссию ЕС, правительство Германии требует, чтобы законопроект был приведен в соответствие с “конституционными стандартами защиты частных и конфиденциальных сообщений”. Заявление позиционирует себя против “общего наблюдения и мер по сканированию частных коммуникаций”.

Согласно утечке, немецкое правительство задает 61 вопрос, которые отчасти являются очень жесткими и создадут серьезные проблемы для Комиссии ЕС.

Например, правительство Германии прямо спрашивает, означает ли ссылка на важность сквозного шифрования в тексте также, что это шифрование не должно быть подорвано при обнаружении изображений сексуального насилия. Кроме того, правительство Германии спрашивает, насколько законопроект совместим с некоторыми положениями Общего регламента по защите данных (GDPR) или может ли программное обеспечение быть построено таким образом, чтобы различать детей в ситуациях, не связанных с насилием (например, на пляже), и детей в ситуациях, связанных с насилием.

Еще один важный вопрос касается безопасности всех европейских граждан: Правительство Германии спрашивает, как закон сможет определить, не будет ли технология использоваться не по назначению, и как он будет определять нецелевое использование.

Как на это ответит Комиссия?

В целом, правительство Германии задает критические вопросы, которые высвечивают все слабые стороны законопроекта Европейской комиссии: Всеобщая массовая слежка, предлагаемая законопроектом, ослабит безопасность европейских граждан и бизнеса, а также подорвет право на неприкосновенность частной жизни.

Следует ожидать, что Комиссия ЕС сможет ответить на эти вопросы лишь неудовлетворительно. Обилие и глубина деталей вопросов, заданных правительством Германии, а также массовые нарушения фундаментальных прав предлагаемым законом делают практически невозможным ответить на них так, чтобы эксперты по защите данных остались довольны.

Борьба за неприкосновенность частной жизни

Вопрос, который необходимо задать сейчас: как отреагирует правительство Германии, получив не совсем удовлетворительные ответы. Будут ли они настаивать на “праве на шифрование”, как указано в коалиционном документе? Будут ли они защищать право на неприкосновенность частной жизни каждого европейского гражданина?

Хотя просочившиеся вопросы - это очень хороший знак, мы не должны сидеть сложа руки и ждать, как будут развиваться события.

Вместо этого нам нужно действовать прямо сейчас и сказать политикам, что наше право на неприкосновенность частной жизни имеет значение.

  1. **Если вы живете в Германии, подпишите петицию Campact**о борьбе с проектом Комиссии ЕС, который приведет к беспрецедентной массовой слежке в Европе.
  2. **Если вы живете в Австрии, подпишите петицию #aufstehn**для борьбы с проектом Комиссии ЕС, который приведет к беспрецедентной массовой слежке в Европе.
  3. **Выскажите свое мнение**Европейской комиссии и поделитесь своими опасениями по поводу этого законопроекта.
  4. Посмотрите здесь, как вы можете присоединиться к акции протеста, а также позвонить и написать своим представителям.

Вместе мы должны бороться с массовой слежкой!


Утечка документа

Дата: 10.06.2022 От: Правительство Германии Документ: 206/2022

Вопросы Германии по предложению COM Предложение для регламента Европейского парламента и Совета, устанавливающего правила для предотвращения и борьбы с сексуальным насилием над детьми

GER благодарит COM за инициативу и приветствует усилия COM по предотвращению и борьбе с сексуальным насилием над детьми. Это также является целью коалиционного договора. Проект регламента CSA является важным шагом в борьбе с сексуальным насилием над детьми в цифровом пространстве на европейском уровне и достижении лучшей защиты детей.

Общее законодательство, включающее оценку рисков, снижение рисков, отчетность о рисках, четкую правовую базу и новый Европейский центр, может помочь усилить профилактику и преследование сексуального насилия над детьми на всей территории ЕС - при этом признавая существующие структуры служб отчетности о контенте.

Конфиденциальность коммуникаций является важным активом в нашем либеральном обществе, который должен быть защищен. Согласно Хартии основных прав, каждый человек имеет право на уважение своей частной и семейной жизни, жилища и коммуникаций. Все меры регулирования должны быть соразмерными, не должны выходить за рамки того, что необходимо для предотвращения сексуального насилия над детьми в цифровом пространстве, и должны эффективно уравновешивать противоречивые интересы защиты детей от насилия, с одной стороны, и защиты частной жизни - с другой.

GER будет способствовать поиску четких адекватных и постоянных путей для принятия мер, которые помогут усилить профилактику и преследование сексуального насилия над детьми на всей территории ЕС. В соответствии с коалиционным договором GER тайна связи, высокий уровень защиты данных, высокий уровень кибербезопасности, а также всеобщее сквозное шифрование являются существенными для GER. Коалиционный договор GER выступает против мер общего мониторинга и мер по сканированию частных коммуникаций. GER рассматривает проект предложения в свете коалиционного договора. Для GER важно, чтобы регулирование, направленное на борьбу и предотвращение распространения материалов о сексуальном насилии над детьми, соответствовало нашим конституционным стандартам защиты частных и конфиденциальных коммуникаций.

Что касается создания Центра ЕС, то стратегия ЕС предполагает довольно комплексный подход, затрагивающий как онлайн, так и офлайн профилактику. Нынешнее предложение, как представляется, в первую очередь направлено на поддержку правоохранительной деятельности, при этом не содержит четкого мандата на меры по профилактике в офлайне. С нашей точки зрения, Центр ЕС должен стать центром по повышению осведомленности и поддержке сетей (в том числе сетей людей, переживших сексуальное насилие над детьми). Мы убеждены, что Центр ЕС должен сосредоточиться, в частности, на профилактике онлайнового CSA. Однако, в рамках своей компетенции, он также должен уделять внимание и офлайновому CSA, когда правонарушения в сети связаны с насилием в офлайне. Кроме того, GER советует внедрить равную структуру активного участия тех, кто пострадал от CSA, с самого начала при разработке Центра ЕС. Центр ЕС призван оказывать поддержку тем, кто пострадал от CSA. Однако в текущем предложении не содержится информации об участии лиц, пострадавших от ККА, в работе Центра ЕС.

Несмотря на эти замечания по существу, мы продолжаем изучать текущее предложение о создании Центра ЕС в качестве независимого агентства.

Наша оговорка о тщательном изучении включает также, но не только, организационную структуру нового Европейского центра, статью 4 и - в самом общем смысле - баланс между основными правами, особенно в отношении конфиденциальности связи и сквозного шифрования.

GER очень приветствует возможность проведения технических экспертных семинаров наряду с LEWP. Технические семинары предоставили бы МС возможность больше узнать о технологиях, о которых идет речь в отношении приказов об обнаружении, и помогли бы улучшить общее понимание в МС.

Мы интенсивно изучаем проект постановления и в дальнейшем будем его комментировать. На данный момент у GER есть множество вопросов. Мы хотели бы поблагодарить Президиум и КМ за возможность передать наши вопросы и первоначальные замечания.

GER просит дать разъяснения по следующим вопросам. На данный момент приоритетными для GER являются следующие вопросы:

  1. Каким образом ККА ЕС поддерживает предотвращение сексуального насилия над детьми в офлайне? Помимо права на информацию и удаления CSAM - какие меры поддержки планируются для жертв и пострадавших от сексуального насилия над детьми?
  2. Не мог бы КОМ привести примеры возможных мер по смягчению последствий распространения CSAM, а также груминга, которые подходят для предотвращения постановления об обнаружении?
  3. Не могла бы КОМ объяснить, как должна быть организована проверка возраста провайдерами, соответственно, магазинами приложений? Какого рода информация должна быть предоставлена пользователем? В отношении груминга ваше предложение направлено конкретно на общение с ребенком-пользователем. Должна ли идентификация пользователя-ребенка осуществляться только посредством проверки возраста? Если будет обнаружен риск, будут ли провайдеры обязаны внедрить регистрацию пользователей и проверку возраста? Будет ли также проводиться проверка для выявления взрослых пользователей, злоупотребляющих приложениями, предназначенными для детей?
  4. Разделяет ли КОМ мнение, что статья 26, указывающая на то, что использование технологии сквозного шифрования является важным инструментом, гарантирующим безопасность и конфиденциальность коммуникаций пользователей, означает, что технологии, используемые для выявления случаев жестокого обращения с детьми, не должны подрывать сквозное шифрование?
  5. Не могла бы СОМ подробно описать технологию, которая не нарушает сквозное шифрование, защищает оконечное оборудование и при этом может обнаружить CSAM? Существуют ли какие-либо технические или правовые границы (существующие или будущие) для использования технологий для обнаружения сексуального насилия над детьми в Интернете?
  6. Какие (технологические) меры КОМ считает необходимыми для провайдеров услуг хостинга и провайдеров межличностного общения в ходе оценки рисков? В частности, как провайдер может провести оценку риска без применения технологий, упомянутых в статьях 7 и 10? Как эти провайдеры могут выполнить обязательство, если их услуги шифруются из конца в конец?
  7. Насколько развиты современные технологии, позволяющие избежать ложных срабатываний? Какую долю ложных срабатываний можно ожидать при использовании технологий для обнаружения груминга? Считает ли COM необходимым в целях сокращения количества ложных срабатываний предусмотреть, что информация о срабатывании раскрывается только в том случае, если метод соответствует определенным параметрам (например, вероятность срабатывания 99,9%, что рассматриваемый контент является соответствующим)?
  8. Устанавливает ли предложение правовую основу для обработки персональных данных провайдеров в контексте приказа об обнаружении в значении статьи 6 GDPR? Устанавливает ли предложение правовую основу для обработки персональных данных для ЕС-Центра в контексте приказа об обнаружении в значении регламента 2018/1725?

Кроме того, мы хотели бы поднять следующие вопросы:

Оценка рисков и снижение рисков:

  1. Может ли COM подробно рассказать о соответствующих “образцах данных” и практическом объеме обязательств по оценке рисков? Особенно разграничение между провайдерами услуг хостинга и провайдерами услуг межличностных коммуникаций.

  2. Может ли COM подтвердить, что добровольный поиск CSAM провайдерами остается (юридически) возможным? Существуют ли планы по расширению временного регламента, который позволяет провайдерам осуществлять поиск CSAM?

  3. В ст. 3 п. 2 (e) ii предложение описывает особенности, характерные для платформ социальных сетей. Может ли COM описать сценарии, в которых анализ рисков для этих платформ не приводит к положительному результату?

Что касается приказов об обнаружении:

  1. В пункте 23 говорится, что приказы об обнаружении должны - по возможности - ограничиваться идентифицируемой частью услуги, например, конкретными пользователями или группами пользователей. Не могла бы COM пояснить, как должны быть определены конкретные пользователи/группы пользователей и в каких случаях ордер на обнаружение должен быть выдан только в отношении конкретного пользователя/группы пользователей?

  2. Следует ли понимать требования, изложенные в статье 7 п. 5 / п. 6 / п. 7, в совокупности?

  3. Может ли COM разъяснить “доказательства значительного риска”? Достаточно ли того, что на платформах есть больше пользователей-детей и что они общаются в объеме, описанном в статье 3?

  4. Насколько подробно в постановлении об обнаружении указывается техническая мера, требуемая от провайдера?

  5. Может ли COM разъяснить требования пунктов 5b, 6a, 7b - какой стандарт рассмотрения применяется? Как можно измерить вероятность в ст. 7 п. 7 (b)? Применяется ли принцип in dubio pro reo в пользу службы хостинга?

  6. Как взвешиваются причины для издания приказа об идентификации с учетом прав и законных интересов всех заинтересованных сторон согласно ст. 7(4)(b)? Основаны ли они на конкретной мере или абстрактны?

  7. Получила ли COM обратную связь от провайдеров, особенно в отношении статьи 7? Если да, то не могли бы вы подробно описать общие отзывы?

  8. Насколько конкретно приказ об идентификации определяет меру, требуемую от провайдера? Что следует в этом отношении из статьи 7(8) (“нацеливает и конкретизирует [приказ об обнаружении]”), что из статьи 10(2) (“От провайдера не требуется использование какой-либо конкретной технологии”)?

  9. На странице 10 предложения говорится: “Обязательства по обнаружению сексуального насилия над детьми в Интернете предпочтительнее, чем зависимость от добровольных действий провайдеров, не только потому, что эти действия на сегодняшний день оказались недостаточными для эффективной борьбы с сексуальным насилием над детьми в Интернете(…)“. Каковы доказательства COMs того, что эти добровольные варианты недостаточны?

  10. Как проект постановления соотносится с правами субъектов данных в соответствии со ст. 12 и последующие статьи GDPR, в частности, статья 22 GDPR?

  11. Что касается задач органов по надзору за защитой данных, существующих в рамках GDPR и других существующих или находящихся на стадии переговоров европейских актов (например, DSA), как можно достичь эффективного контроля над распоряжениями об идентификации?

  12. Включает ли “все затронутые стороны” в ст. 9 включает пользователей, которые распространяли CSAM или приставали к детям, но, тем не менее, были проверены?

Технологии

  1. Какие технологии могут быть использованы в принципе? Отвечает ли требованиям Microsoft Photo ID?

  2. Должны ли технологии, используемые в отношении облачных сервисов, также обеспечивать доступ к зашифрованному контенту?

  3. Как обеспечивается или подтверждается качество технологий? Как предложение CSA соотносится с проектом AI-Act?

  4. Как оценивается эквивалентность собственных технологий провайдеров в соответствии со Статьей 10(2) и как это связано с возможностью провайдеров ссылаться на коммерческую тайну?

  5. Может ли технология быть разработана таким образом, чтобы различать фотографии детей в обычной/не оскорбительной обстановке (например, на пляже) и CSAM?

  6. Может ли программное обеспечение для анализа текста отличить законный разговор между взрослыми (родителями, родственниками, учителями, спортивными тренерами, друзьями и т.д.) и детьми от ситуации груминга?

  7. Как добиться того, чтобы провайдеры использовали исключительно технологию - особенно ту, которую предлагает Центр ЕС - для выполнения приказа об обнаружении?

  8. Как следует поступать в случае ошибки? Как следует выявлять возможные случаи злоупотребления?

  9. Не могли бы вы подробнее рассказать о человеческом надзоре и о том, как он может предотвратить ошибки, допускаемые используемыми технологиями?

  10. Как, по вашему мнению, провайдеры должны информировать пользователей о “влиянии на конфиденциальность общения пользователей”? Является ли это обязанностью в связи с выдачей ордера на обнаружение? Или это может быть частью правил и условий?

  11. Подпадают ли под действие Постановления поставщики услуг хостинга файлов/изображений, которые не имеют доступа к хранящемуся у них контенту?

Дополнительные обязательства провайдеров

  1. Как обязательства по отчетности в рамках данного предложения соотносятся с текущей отчетностью NCMEC? Как можно оптимизировать эти два процесса? Как можно убедиться, что не происходит ни дублирования отчетов, ни их потери?

  2. Какую роль должен играть координирующий орган в отношении обязательств по отчетности?

  3. Что касается отмены CSAM в масштабах всего ЕС, как КОМ будет решать проблему национальных различий в уголовном законодательстве?

  4. Какое количество дел ожидает COM для отчетов в CSA ЕС? Сколько дел будет передано компетентным национальным правоохранительным органам и/или Европолу?

  5. Повлияет ли на право на эффективную компенсацию обязательство по ст. 14 исполнять постановление о высылке в течение 24 часов?

  6. В какой момент можно предположить, что знания о содержании были получены провайдером, требуются ли знания человека?

  7. Какой стандарт проверки предполагает COM в отношении различных “действующих лиц” в информационной цепочке в процессе выдачи распоряжения? Включает ли это требование человеческой оценки/аудита в каждом случае?

  8. Почему Европол должен быть задействован во всех случаях, т.е. не только в случаях неясной ответственности государства-члена?

  9. Как на практике можно ограничить распоряжения о блокировке конкретным контентом или областями услуги, или можно блокировать только доступ к услуге в целом?

  10. Должны ли облачные сервисы блокировать доступ к зашифрованному контенту, если они получают сообщение о подозрительной активности конкретных пользователей?

Штрафы

  1. Почему вы выбрали свободу суждений в отношении штрафных санкций?

  2. Применяется ли ст. 35 применяется к случаям неправомерного использования технологий или бездействия по принятию эффективных мер для предотвращения такого неправомерного использования (ст. 10 п. 4)?

  3. Почему предложение не следует санкциям, изложенным в Положении о ТШО?

  4. Может ли статья 35(2) быть ограничена нарушениями одного центрального обязательства или небольшого количества центральных обязательств?

Системы обмена информацией

  1. Статья 39 (2) не предусматривает прямого подключения национальных правоохранительных органов к системам обмена информацией. Каким образом отчеты будут передаваться национальным правоохранительным органам?

  2. Что должна включать в себя система обмена информацией? Как наилучшим образом сбалансировать эффективность и защиту данных?

  3. Только CSA ЕС и Европол будут иметь прямой доступ к базе данных показателей (ст. 46(5)), как национальные LEAs/национальные координирующие органы могут наилучшим образом использовать эту информацию? Считает ли COM необходимым новый интерфейс для того, чтобы национальные органы знали, что может быть доступна дополнительная информация?

ЦСА ЕС и Европол

  1. Что касается сотрудничества предлагаемого Центра ЕС с Европолом, как Комиссия представляет себе распределение задач между этими двумя структурами в конкретном плане, чтобы избежать любого дублирования усилий?

  2. Мы обратили внимание на то, что в оценке воздействия Комиссии не рассматривается возможность интеграции задач по профилактике и поддержке жертв в УФРС, а задач, имеющих отношение к правоохранительной деятельности, в Европол вместо создания новой структуры. Скорее, кажется, что эта возможность отброшена после предварительного изучения. Поэтому мы хотели бы знать, почему этот вариант не был рассмотрен в первую очередь? Более того, мы просим COM объяснить, какие преимущества она ожидает от создания новой структуры вместо того, чтобы распределить задачи между УФРС и Европолом?

  3. Законодательное предложение предусматривает, что Европол должен предоставлять определенные “вспомогательные услуги” ЦКА ЕС. Какими конкретными средствами и услугами Европола должен пользоваться ЦКА ЕС? Как можно отделить эти вспомогательные задачи от задач ЦКА ЕС? В этом контексте мы хотели бы спросить, если да, то сколько дополнительных ресурсов КОМ оценивает для Европола?

  4. Как Европол должен относиться к этой поддержке с точки зрения ресурсов, и как COM гарантирует, что такая поддержка не будет осуществляться за счет других задач Европола?

  5. Как предлагаемая структура управления ЦКА ЕС может быть наилучшим образом согласована со структурой управления Европола, чтобы не возникло дисбаланса между Комиссией и государствами-членами?

  6. Статья 53(2) проекта касается взаимного доступа к соответствующей информации и информационным системам в отношении Европола. Правы ли мы, полагая, что данное положение не регулирует доступ к информации как таковой, поскольку делается ссылка на соответствующие положения (“в соответствии с актами законодательства Союза, регулирующими такой доступ”)? Каково тогда конкретное нормативное содержание данного положения? Пожалуйста, объясните.

  7. В течение какого периода, по оценкам COM, EU CSA может начать свою работу (хотя, возможно, еще не полностью)?

  8. На каком этапе процесса изображения удаляются в соответствии с предложением?

  9. Согласно статье 64(4)(h), исполнительный директор создаваемого ЦКА ЕС может налагать финансовые штрафы в случае совершения преступных действий, наносящих ущерб финансовым ресурсам Союза. Как это относится к разбирательствам ЕОКЗР?

  10. Как предложение может гарантировать, что полномочия ККА ЕС не столкнутся с полномочиями Евроюста?