目前由欧盟轮值主席国丹麦推动的欧盟《儿童性虐待条例》(CSA)提案有可能破坏隐私并严重损害欧洲企业的利益。通过强制供应商扫描所有信息,甚至是加密信息,该法律将有效禁止安全通信,并为每个人的私人生活打开危险的后门。因此,《聊天控制法》是有史以来最受批评的法律之一。
在 Tuta Mail,强大的端到端加密是不容商量的。它是安全在线通信的基础,是自由民主社会的基础。削弱加密技术不会让任何人更安全,只会破坏对欧洲商业的信任,从而损害欧洲的科技产业。
“如果《聊天控制》获得通过,作为加密服务提供商,我们有两个选择:起诉以维护人们的隐私,或者离开欧盟。我们已经决定抗争。我们绝不会削弱我们的加密技术,也不会为我们的加密技术开后门。
Tuta 与 40 多家欧洲隐私优先公司以及代表 45000 多家数字中小型企业的欧洲数字中小型企业联盟一道,敦促欧盟成员国的部长们捍卫欧洲的数字主权,否决这项将大规模监控正常化并削弱加密的法律草案。
阅读以下公开信全文,了解为什么欧洲必须选择自由和安全,而不是大规模扫描。
就拟议的 CSA 法规致欧盟成员国的公开信
尊敬的欧盟成员国内政部长、司法部长、数字化部长和经济部长、
我们,以下签名的欧洲企业,以及代表全欧洲 45000 多家数字中小型企业的欧洲数字中小型企业联盟(European DIGITAL SME Alliance),就拟议中的儿童性虐待(CSA)条例致函阁下,并深表关切。保护儿童并确保每个人在我们的服务和互联网上的安全是我们作为注重隐私的公司的核心使命。我们认为隐私是一项基本权利,是成人和儿童在网上获得信任、安全和自由的基础。然而,我们深信,丹麦轮值主席国目前采取的方法不仅会降低互联网对每个人的安全性,还会破坏欧盟最重要的战略目标之一:向更高水平的数字主权 迈进。
数字主权是欧洲的战略未来
在一个日益不稳定的世界中,欧洲需要能够按照欧洲的价值观开发和控制自己的安全数字基础设施、服务和技术。降低这些风险的唯一途径就是增强欧洲创新技术提供商的能力。
数字主权之所以重要,主要有两个原因:
- 经济独立 :欧洲的数字未来取决于其自身企业的竞争力。但是,强迫欧洲服务机构使用客户端扫描技术扫描所有信息,甚至是加密信息,会破坏其安全标准,从而损害用户的网络安全,也有悖于欧洲的数据保护高标准。因此,欧洲用户—无论是个人还是企业—以及全球客户都将失去对我们服务的信任,转而求助于外国供应商。这将使欧洲更加依赖于美国和中国的科技巨头,而这些巨头目前并不尊重我们的规则,从而削弱了欧洲集团的竞争能力。
- 国家安全 :加密对国家安全至关重要。强制使用本质上等同于后门或其他扫描技术的加密技术,不可避免地会造成漏洞,而这些漏洞能够并将会被敌对国家行为者和犯罪分子所利用。正是出于这个原因,各国政府免除了 CSA 扫描义务。然而,如果 CSA 条例继续推进,企业、政治家和公民的大量敏感信息将面临风险。它将削弱欧洲保护其关键基础设施、公司和人民的能力。
CSA 法规将破坏对欧洲企业的信任
信任是欧洲的竞争优势。得益于 GDPR 和欧洲强大的数据保护框架,欧洲企业建立了全球用户信赖的数据保护、安全和完整性服务。这种声誉来之不易,也为欧洲的服务提供了大科技垄断企业无法比拟的独特卖点。这是欧洲在科技领域相对于美国和中国为数不多的竞争优势之一,甚至是唯一的竞争优势。
该法律条文将损害欧洲的道德和隐私优先服务,迫使它们削弱使欧洲企业在国际上脱颖而出的安全保障。在美国政府明确禁止其公司削弱加密技术的背景下,这一点尤其成问题,即使欧盟法律规定必须这样做。
最终,CSA 法规将成为美国和中国公司的福音,因为它将使欧洲失去唯一的竞争优势,并向大科技公司敞开更大的大门。
矛盾削弱了欧洲的数字雄心
欧盟已承诺通过 NIS2、《网络复原力法》和《网络安全法》等措施加强网络安全。这些政策承认加密对欧洲的数字独立至关重要。然而,《CSA 法规》绝不能通过有效授权系统漏洞来破坏这些成就。
欧洲一方面投资网络安全,另一方面却立法禁止网络安全,这是不一致的。
欧洲中小企业将受到最严重的打击
如果强制实施客户端扫描,中小型企业(SMEs)将受到最严重的打击。与大型科技公司不同,中小型企业往往没有财力和技术资源来开发和维护侵入性监控机制,这意味着合规将带来高昂的成本或迫使企业退出市场。此外,许多中小型企业将其独特的市场地位建立在提供最高级别的数据保护和隐私保护上;特别是在欧洲,这是许多人选择其产品而非大科技公司同类产品的决定性因素。强制进行客户端扫描将破坏许多欧洲公司的这一核心价值主张。
这将窒息欧洲的创新,巩固外国供应商的主导地位。欧洲非但不能建立一个充满活力的独立数字生态系统,反而有可能通过立法将自己的公司挤出市场。
为此,我们呼吁你们
- 拒绝强制实施客户端扫描、后门或对私人通信进行大规模监控的措施,例如我们目前在丹麦就 CSA 法规提出的理事会立场提案中看到的措施。
- 保护加密技术,加强欧洲网络安全和数字主权。
- 维护欧洲企业在国际上建立的信任。
- 确保欧盟法规加强而不是削弱欧洲中小企业的竞争力。
- 采取有效、适度、符合欧洲数字主权战略目标的儿童保护措施。
如果欧洲通过强制要求客户端扫描或其他旨在扫描加密环境的类似工具或方法来破坏其自身业务的安全性和完整性,那么数字主权就无法实现,而技术专家已再次证实,在不削弱或破坏加密的情况下是无法做到这一点的。要在全球数字经济中处于领先地位,欧盟必须保护隐私、信任和加密。
签名者
黑夜(爱尔兰)
Commown(法国)
CryptPad(法国)
Ecosia(德国)
Element (德国)
电子基金会(法国)
欧洲数字中小企业联盟(代表 45000 家欧盟中小企业的欧盟贸易协会)
法比亚诺律师事务所(意大利)
FlokiNET (冰岛)
FFDN (法国)
Gentils Nuages(法国)
Hashbang (法国)
海因莱因集团(德国)
LeBureau.coop (法国)
Logilab (法国)
邮箱(德国)
Mailfence (比利时)
Murena(法国)
Nextcloud(德国)
Nord Security(立陶宛)
Nym(法国/瑞士)
Octopuce(法国)
Olvid(法国)OpenCloud(德国)
OpenTalk(德国)
Phoenix R&D(德国)
质子(瑞士)
Skylabs(爱尔兰)
Sorware Ay(芬兰)
Soverin (荷兰)
Startmail(荷兰)
Surfshark (荷兰)
TeleCoop (法国)
The Good Cloud(荷兰)
Tuta Mail(德国)
Volla Systeme GmbH(德国)
WEtell(德国)
Wire (瑞士)
XWiki SAS(法国)
zeitkapsl(奥地利)