呼吁欧盟成员国捍卫加密的公开信

三方对话即将开始,欧盟成员国必须决定站在哪一边:隐私还是监控。

Encryption in the EU must be defended to protect the privacy of people and businesses alike.

新的一年,旧的讨论:今年,欧盟将开始就欧盟委员会的《儿童性虐待条例》(CSAR)进行三方讨论,该条例建议对欧盟公民的每条信息进行扫描,以确定是否存在虐待材料。去年,欧盟议会已经表态反对这种客户端扫描,这对欧洲的隐私权倡导者来说是一个巨大的成功。现在是欧盟成员国在这场隐私与监控之战中进行自我定位的时候了。我们是欧洲隐私至上公司的联盟,呼吁我们的部长们维护公民的隐私权,捍卫强大的加密技术。


去年,我们激动地看到欧盟议会达成了反对聊天控制监控的历史性协议。我们要对欧盟议会捍卫人们的隐私权和在欧洲维护强大加密技术的决定表示赞赏。欧盟议会的决定采纳了 300 名科学家、密码学专家和欧洲议会研究服务处(EPRS)的建议,他们严厉批评了聊天控制的巨大监控权力,认为这将破坏网络隐私权,损害言论自由,从而破坏我们的民主价值观。

英国的《在线安全法案》澳大利亚的监控立法美国的 FISA 改革中可以看出,世界正面临着前所未有的监控趋势,而欧盟现在有独特的机会成为言论自由和民主的希望灯塔。

欧盟通过《通用数据保护条例》(GDPR)为欧盟的数据保护和隐私设定了极高的标准。现在,重要的是要通过捍卫强大的加密技术来维护这种高水平的隐私,从而使欧盟公民和企业能够继续享受尽可能高水平的在线隐私和保密性。

就拟议的 CSA 条例致欧盟成员国的公开信

尊敬的欧盟成员国内政部长、司法部长和经济部长、

作为来自欧洲的中小型公司和组织,我们对有关儿童性虐待 (CSA) 条例的提案表示关切,特此致函。我们共同呼吁您确保贵国在此问题上的立场尽可能接近欧洲议会(EP)的立场。我们一致认为,确保儿童上网安全是科技公司最重要的职责之一,因此,我们认为欧盟委员会提出的法规令人极为担忧。因此,我们认为欧盟委员会的拟议条例令人极为担忧。如果按照拟议条例实施,它将对儿童的网络隐私和安全产生负面影响,同时还会对欧盟的网络安全格局造成不可预见的严重后果,此外还会造成无效的行政负担。欧洲议会最近通过了对该文件的立场,承认扫描技术与保密和安全通信的目标不符。 因此,欧洲议会对该提案提出的重要修改反映了欧洲数据保护监督员(EDPS)、理事会法律服务部门以及无数密码学和网络安全专家的意见。它还反映了欧盟委员会在影响评估中咨询的 63% 至 69% 的公司、公共机构、非政府组织和公民的意见。作为中小型科技公司和组织,我们与他们有着同样的担忧,因为我们知道,要在端到端加密通信中查找特定内容(如文本、照片和视频),就必须实施后门,或采用被称为 “客户端扫描 “的类似技术。即使建立这种机制的目的是为了打击网络犯罪,它也会很快被犯罪分子利用,给所有用户都造成漏洞,从而使公民和企业面临更大的网络风险。

数据保护是强大的竞争优势

作为在欧盟运营的科技公司,我们根据欧盟强大的数据保护框架打造产品和服务,该框架至今仍是全世界的榜样和灵感来源。GDPR 允许在欧洲创建道德、隐私至上的科技公司,否则这些公司永远无法与大型科技公司竞争。它让欧洲公司在该领域获得了强大的国际竞争优势,让消费者终于能够找到美国和中国服务的替代品。我们在欧盟内外的用户已经开始信任我们保护他们数据的承诺,这种信任是我们竞争力的关键驱动力。适应 GDPR 带来的必要行政负担的学习曲线很高,但这是值得的。然而,CSA 法规可能会威胁到欧洲 IT 公司的这一独特卖点,而且还会增加新的行政负担,我们担心这可能会使我们的公司和执法机构不堪重负。考虑到通过我们的服务传输的通信量和内容,即使用于扫描滥用材料的技术的错误率微乎其微,每天也会产生数百万个需要人工审查的误报。

CSA 法规可能会削弱网络信任和安全

在数据泄露和隐私丑闻日益频繁的今天,欧盟在严格数据保护方面的声誉是在其境内运营的企业的一个独特卖点。它为我们提供了竞争优势,向我们的客户保证,他们的信息会得到最谨慎、最完整的处理。这种信任一旦受到破坏,就很难重建,而任何有损于这种信任的措施,如强制扫描或强制年龄验证,都有可能损害大小企业的利益。此外,欧盟最近通过了第 2023/2841 号法规,规定欧盟机构和团体在采取网络安全风险管理措施时,必须考虑使用端到端加密技术。目前,欧盟还提出了多项 “网络 “提案,如《网络复原力法案》和《网络安全法案》。如果支持与《CSA 法规》相反的方法,只会破坏欧盟网络安全框架,产生一套相互矛盾、不连贯且效率低下的新措施,企业将无法在不给公民和企业带来风险的情况下执行这些措施。

欧盟议会的提案方向正确

因此,我们赞赏欧洲议会捍卫欧洲公民隐私权和安全通信权的坚定立场。欧洲议会对这些原则的承诺不仅证明了其对人权的承诺,也为像我们这样将数据保护和安全放在首位的企业带来了希望的灯塔。议会的立场包括对网络安全和数据保护影响最小的扫描替代方案,专家认为这些方案比强制扫描更有效、更高效。这种范式的改变意味着要超越隐私和安全之间的错误二分法,同时还要按照监管审查委员会的要求,使提案尊重相称性原则。在我们看来,欧洲议会在其立场中所做的改动即使并不完美,但也是一个很好的折中方案,既维护了数字安全和保密性,又更好地保护了在线儿童。我们认为,这些变化在保护儿童与维护隐私和网络安全之间取得了正确的平衡。

作为充满活力的欧洲小企业社区的代表,我们鼓励欧盟成员国继续倡导隐私、网络安全和数据保护的价值观。这些原则不仅符合欧盟对人权的承诺,也是繁荣和具有竞争力的商业环境的基础。让我们捍卫并加强这些原则,确保欧盟在全球市场上继续成为隐私权的倡导者。

为此,我们呼吁您

  • 确保理事会的立场尽可能与欧洲议会的立场保持一致。这将有助于在欧洲议会重要工作的基础上更快地通过该法规。
  • 保持欧盟公民享有的高水平基本权利,尤其是数据保护。
  • 不强迫像我们这样的公司代表执法机构对私人信件进行大规模监控。
  • 通过保护端到端加密和在文本中引入必要的保障措施,确保欧盟的网络安全达到较高水平。尤其不应强制要求客户端扫描和后门。
  • 保护通信的机密性。
  • 通过大规模扫描的替代方案,使提案更加有效和高效,从而最大限度地减轻行政负担。

已签署:

黑夜解决方案

网络风暴

元素

15 号门

Mailfence

Mail.de GmbH

Olvid

One Privacy

Parsec

质子

Seezam

冲浪鲨

遥测甲板

Threema

特雷索里特

图塔

行业协会和支持者:

应用程序协会

捍卫民主

欧洲加密协会

ISOC-CAT

加拿大隐私与访问委员会

studio legale fabiano