今天,由 55 个专业协会、媒体、人权组织、工会和科技公司组成的联盟发表了一封联名信,敦促欧盟部长们通过一项数字安全议程,以促进基本权利和支持安全的数字生态系统。信中表达了对高级别小组(HLG)关于扩大执法部门获取个人数据的建议的担忧,担心这些建议可能会导致大规模监控并破坏隐私。
Tuta 公司首席执行官马蒂亚斯-普法(Matthias Pfau)警告说,如果欧盟继续沿着这条路走下去,就有可能失去创新型、注重隐私的公司和公民的信任:
“如果欧盟继续沿着这条破坏加密的道路走下去,像 Tuta Mail 这样的公司将无法在其境内运营。在 Tuta,我们为每个人的加密隐私权而战;我们将继续这样做!如果欧盟试图阻止我们,我们宁可搬迁,也不会破坏我们的量子安全加密技术。Tuta Mail 首席执行官马蒂亚斯-普福(Matthias Pfau)说:“欧盟有可能失去创新的、注重隐私的企业,以及公民对它们的信任。
正如最近由中国政府支持的攻击者对美国电信供应商发动的网络攻击所表明的那样,削弱加密对数字安全构成了严重威胁。美国最近发生的安全漏洞事件凸显了强大加密技术的重要性。欧盟必须重新思考其做法—因为削弱加密不仅是一种政策选择,更是对每个人安全的威胁。 加密是安全可信的数字通信的基础。破坏这一基础将为恶意行为者敞开大门,威胁公民、企业和政府的安全。
在中国对美国数字基础设施发动攻击之后,美国官员越来越多地建议使用端到端加密通信工具,而欧盟却反其道而行之,讨论削弱加密和剥夺所有人数字隐私的政策。强大的加密技术对于抵御各种网络威胁至关重要,欧盟必须优先考虑强大的安全性和隐私性,而不是那些会造成系统漏洞的政策。
加密后门绝不是一种选择—因为恶意行为者会滥用这些后门。
公开信要点
-
尊重基本权利: 公开信反对 “设计合法访问 “等措施,这些措施可能会削弱加密和数字安全系统,危及个人数据和通信。信中强调必须维护隐私权,避免破坏加密技术,因为加密技术对保障个人安全和自由至关重要。
-
隐私和职业保密: 信中强调,允许不受限制的执法访问的措施可能会损害通信的保密性,包括那些受职业秘密保护的通信,如医生和病人之间、记者和消息来源之间、律师和客户之间的通信。这些保护对于保障言论自由和表达自由等其他基本权利至关重要。
-
数字生态系统的安全: 信中警告说,高级别小组的建议可能会破坏欧盟强大的数字安全框架,如 GDPR,从而导致数字生态系统被削弱。信中告诫不要强制要求服务提供商收集不必要的数据或进行拦截,因为这将降低安全系统的性能并造成漏洞。有人担心,为执法部门实施后门会使系统被恶意行为者利用。
-
对欧盟企业的影响: 信中指出,严格的执法措施和制裁会损害小型安全服务提供商的利益,有可能将其赶出市场。这将对欧盟的网络安全雄心和提供安全服务的能力产生负面影响。
阅读公开信全文,了解决策者需要如何在执法需求与基本权利保护之间取得平衡,同时又不损害每个人的隐私。
公开信
联名信呼吁欧盟数字安全议程促进基本权利并支持安全的数字生态系统
亲爱的部长们
我们,以下签名的专业协会、媒体和人权组织、工会和技术公司,致函于您,强调欧盟数字安全议程的必要性,该议程既要确保公正、问责和尊重基本权利,又要支持安全数字生态系统的发展。
在此背景下,我们想就高级别小组(HLG)提出的关于获取数据以有效执法的建议和报告表达我们的关切。鉴于高级别小组的总体目标是允许执法机构最大限度地访问个人数据,如果这些建议被作为欧盟未来政策和立法的基础,我们将发现大规模监控的重大风险以及对安全和隐私的巨大威胁。 因此,我们敦促您在确定欧盟在这一政策领域的优先事项时,考虑以下建议。
尊重基本权利,确保数字空间的安全性和保密性
我们要提出警告,不要赋予执法部门不受约束的能力,这可能会导致大规模监控和侵犯基本权利。
我们尤其对高级别小组所支持的**“设计中的合法访问 “概念** 深感忧虑,该概念旨在将执法部门访问数据纳入所有技术开发的主流。在实践中,这将要求系统性地削弱所有数字安全系统,包括但不限于加密。因此,这将破坏电子数据和通信的安全性和保密性,危及每个人的安全,并严重侵犯人们的基本权利。 这一概念违背了人权组织、数据保护和网络安全专家长期以来提出的建议,也违背了欧洲人权法院(ECtHR)的判例。
因此,我们建议摒弃任何可能绕过加密保护或削弱加密保护的措施,因为这将对数百万人和公共机构造成安全和隐私威胁,并不可避免地破坏更广泛的数字信息生态系统。
此外,我们还想指出,欧盟未来关于数据保留和访问的任何统一制度都必须尊重欧盟法律规定的必要性和相称性的法律要求,以及欧盟法院(CJEU)和欧洲人权法院(ECtHR)关于保护基本权利免受大规模监控的既定判例法。在这方面,建议将数据保留义务扩大到几乎所有信息社会服务,包括物联网和基于互联网的服务,尤其令人担忧,因为这将要求无针对性地、不加区分地保留个人数据。这种广泛而普遍的监控会让人们觉得自己的私人生活受到持续监控,因此不能被视为符合上述要求。
维护隐私权和受保护信息的不可侵犯性
虽然隐私权和通信保密权不是绝对的,但对基本权利的任何干涉都必须符合合法性、严格 必要性和相称性原则。 不加区分地普遍保留个人资料,从而建立详细的个人档案,以及破坏所有私人通信安全 的措施都不符合这些原则。
这些普遍和不加区分的措施也会影响到通信受职业秘密保护的人,如医生及其病人、记者 及其消息来源、律师和社会工作者及其客户。对这些通信的法律保护是人们有效行使其他基本权利的必要保障,这些权利包括公 正审判权和辩护权、言论和信息自由(包括媒体和新闻自由)、思想和宗教自由、集会和 结社自由以及获得社会援助和医疗保健的权利。
我们担心,所设想的执法部门获取数据的广泛权力会干扰受保护通信的保密性和相关的基 本权利。这些措施有可能被滥用于针对记者、人权捍卫者、律师、活动家和持不同政见者。至关重要的是,欧盟必须保证属于法律职业特权或职业保密原则范围内的数据和其他证据的不可侵犯性。
支持安全、可信和多样化的数字生态系统
负责任的设备制造商和服务提供商已投入大量资源,以提高其设备的安全性和服务的可靠性。这些创新不仅满足了日益注重隐私的用户的需求,也满足了负责执行网络安全和数据保护领域更高标准的监管机构的需求。欧盟拥有独特的优势,因为它的数据保护框架为保护人们的基本权利和自由设定了很高的法律标准,而在这个世界上,隐私权不断受到攻击。
遗憾的是,高级别小组的愿景可能会削弱欧洲人未来选择值得信赖的数字工具的能力。它建议为运营商设定广泛的、有时甚至是相互矛盾的义务。这包括强迫运营商收集和保留比提供服务所需更多的用户数据,实现实时拦截并向执法部门提供解密数据,同时避免损害其系统的安全性。尽管高级别小组的意图是不破坏数字安全,但实际上在技术上没有办法在不削弱通信系统安全的情况下打破端到端加密的承诺。为执法部门设计的后门或任何其他规避机制总能被其他行为者利用,这一点已有无数实例证明。
最后,高级别小组还概述了一个令人担忧的执法框架,其中包括严厉的制裁措施,以阻止和惩罚不遵守欧盟义务和执法命令的行为(行政处罚、商业禁令、监禁)。在这里,我们看到的风险是,要么将提供安全服务的可靠运营商赶出欧盟市场,要么使小型或非营利性运营商倒闭,要么阻止他们开发安全解决方案(如果他们已在欧盟成立)。 毋庸置疑,这对欧盟的网络安全倡议和雄心壮志极为不利。
我们理解,执法部门可用的调查措施必须足以应对数字时代,并能有效解决跨境在线服务带来的独特挑战。然而,提高效率不应以削弱基本权利、法律保障和欧洲经济为代价。我们深信,与大规模监控和系统性削弱基本安全保障相比,这些具有普遍利益的目标可以通过侵扰性较低的措施来实现。
我们预先感谢您的考虑,如有任何问题,我们随时恭候您的垂询。
此致敬礼、
立即访问
第 19 条 “组织,国际
欧洲记者协会,比利时 (AEJ Belgium)
Bits of Freedom,荷兰
巴基斯坦 Bolo Bhi
欧洲民主与技术中心(CDT Europe)
混沌计算机俱乐部(CCC),德国
欧洲公民自由联盟 (Liberties)
保护新闻工作者委员会(CPJ)
欧洲社区媒体论坛(CMFE)
欧洲律师和法学会理事会 (CCBE)
爱沙尼亚 Cryptee
D3 - Defesa dos DIreitos Digitais,葡萄牙
Danes je nov dan,斯洛文尼亚
德国 Datenpunks
Deutsche Vereinigung für Datenschutz e.V. (DVD),德国
德国律师协会
爱尔兰数字权利组织
德国数字协会
瑞士数字协会
eco - Verband der Internetwirtschaft e.V.
国际电子前沿基金会(EFF)
电子隐私信息中心(EPIC),美国
元素
Epicenter.works - 促进数字权利,奥地利
Eurocadres
EuroISPA - 欧洲互联网服务提供商协会
欧洲广播联盟(EBU)
欧洲数字权利(EDRi)
欧洲记者联合会 (EFJ)
欧洲杂志媒体协会 (EMMA)
欧洲报纸出版商协会 (ENPA)
欧洲出版商理事会 (EPC)
全球媒体发展论坛 (GFMD)
全球网络倡议(GNI)
心脏地带倡议
IFEX
奥地利网络自由倡议
丹麦 IT-Pol
法国网络四方
人权联盟,比利时
比利时 Mailfence
马耳他信息技术法协会(MITLA)
欧洲新闻媒体(NME)
德国 Nextcloud 有限公司
波兰 Panoptykon 基金会
克罗地亚 Politiscope
国际隐私权组织
质子,瑞士
塞尔维亚 SHARE 基金会
东南欧媒体组织(SEEMO)
国家观察,国际
全球技术研究所
图塔邮件,德国
维基媒体基金会