泄露的 "聊天控制 "文件。德国将为隐私而战?

德国政府就其计划中的监控法向欧盟委员会提出了严厉的问题。

Will Germany take on the fight for privacy for all Europeans?

自2021年秋季起,德国有了一个新政府,这个新政府在他们的联盟文件中同意每个公民都有 "加密权"。现在,德国政府已经向欧盟委员会提出了非常困难的问题,涉及到委员会为打击网上传播儿童性虐待材料和诱导行为而推出的一般监控措施的计划。这是否意味着德国对每个人的加密权是认真的?


提出严厉的问题

欧盟委员会关于预防和打击虐待儿童的法规草案是对公民权利的正面攻击。在其法律草案中,欧盟委员会描述了在中国以外部署的最复杂的大规模监控设备之一。对每个人的设备进行CSAM(儿童性虐待材料)扫描

然而,德国政府在其联盟文件中同意,每个公民都有 “加密权”—如果欧盟委员会的草案成为法律,这显然会被削弱。

在一份泄露给欧盟委员会的内部声明中,德国政府要求该法律草案必须符合 “保护私人和保密通信的宪法标准”。该声明对 “一般监视和私人通信扫描措施 “进行了定位。

根据泄漏的信息,德国政府提出了61个问题,其中部分问题非常苛刻,将给欧盟委员会的回答带来严重问题。

例如,德国政府明确询问文本中提到的端到端加密的重要性是否也意味着在检测性暴力图像时不得破坏这种加密。此外,德国政府还询问该法律草案如何与《一般数据保护条例》(GDPR)的某些条款相兼容,或者软件的构建方式是否能够区分非虐待情况下的儿童(如在海滩)和虐待情况下的儿童。

另一个重要问题涉及到所有欧洲公民的安全问题。德国政府问,法律如何确定该技术不会被滥用,以及如何确定滥用。

委员会将如何回答?

总而言之,德国政府提出了关键问题,将欧盟委员会法律草案的所有弱点暴露无遗。该法律草案提出的普遍的大规模监控将削弱欧洲公民和企业的安全,并破坏了隐私权。

可以预见,欧盟委员会只能不满意地回答这些问题。德国政府提出的问题的丰富性和深度,以及拟议中的法律对基本权利的大规模侵犯,使得它几乎不可能以数据保护专家满意的方式来回答。

为隐私而战

现在需要问的问题是:当德国政府收到不那么令人满意的答案时,他们将如何反应?他们会推动 “加密权 “吗—如联盟文件中所述?他们会捍卫每个欧洲公民的隐私权吗?

虽然泄露的问题是一个非常好的迹象,但我们不应该坐等事情如何发展。

相反,我们现在需要采取行动,告诉政治家们我们的隐私权很重要。

  1. 如果你住在德国,请签署Campact的请愿书,以对抗欧盟委员会的草案,这将导致欧洲前所未有的大规模监控。
  2. 如果你住在奥地利,请签署#aufstehn的请愿书,以对抗欧盟委员会的草案,该草案将导致欧洲前所未有的大规模监控。
  3. 向欧盟委员会表达你的反馈意见,并分享你对这项法律草案的担忧。
  4. 在此查看如何加入抗议活动,以及给你的代表打电话和发邮件。

我们必须共同对抗大规模监控!


泄露的文件

日期:10.06.2022 来自。德国政府 文件:206/2022

德国对欧盟委员会提出的关于欧洲议会和理事会制定预防和打击儿童性虐待规则的提案的问题

德国感谢委员会的倡议,并欢迎委员会为预防和打击儿童性虐待所做的努力。这也是联盟条约的一个目标。CSA条例草案是在欧洲范围内打击数字空间中的儿童性虐待行为并为儿童提供更好保护的重要一步。

包括风险评估、风险缓解、风险报告、明确的法律基础和一个新的欧洲中心在内的共同立法可能有助于加强整个欧盟对儿童性虐待的预防和起诉—同时承认现有的内容报告服务结构。

通信的保密性是我们自由社会的重要资产,必须得到保护。基于《基本权利宪章》,每个人都有权利尊重他或她的私人和家庭生活、家庭和通信。所有的监管措施必须是相称的,不应超出防止数字空间中儿童性虐待的必要范围,并且必须有效地平衡一方面保护儿童免受虐待,另一方面保护隐私的利益冲突。

GER将为找到明确的适当和永久的措施方式做出贡献,以帮助加强整个欧盟对儿童性虐待的预防和起诉。根据GER的联盟条约,通信保密、高水平的数据保护、高水平的网络安全以及普遍的端到端加密对GER来说至关重要。GER联盟条约反对一般监控措施和扫描私人通信的措施。GER公司正在根据该联盟条约审查该提案草案。对欧洲议会来说,打击和防止传播儿童性虐待材料的法规必须符合我们保护私人和保密通信的宪法标准。

关于建立欧盟中心的问题,欧盟战略有一个相当全面的方法,涉及在线和离线预防。目前的建议似乎主要是支持执法活动,而没有明确的离线预防措施的任务。在我们看来,欧盟中心还应该是一个提高认识措施和支持网络(包括儿童性虐待幸存者网络)的中心。我们相信,欧盟中心应特别关注在线CSA的预防。然而,在其权限范围内,当在线犯罪与离线暴力相关时,它也应关注离线CSA。此外,GER还建议,在欧盟中心的设计中,从一开始就实行受CSA影响者积极参与的平等结构。欧盟中心的目的是为受CSA影响的人提供支持。然而,目前的建议并没有提供有关受CSA影响者参与欧盟中心的信息。

尽管有这些实质性的意见,我们仍然在审查目前关于建立欧盟中心作为一个独立机构的建议。

我们的审查保留意见还包括但不限于新的欧洲中心的组织设计,第4条,以及—非常普遍的—基本权利之间的平衡,特别是关于通信保密和端到端加密。

GER非常欢迎与LEWP同时举行技术专家研讨会的可能性。技术研讨会将使成员国有机会更多地了解有关侦查令的关键技术,并有助于提高成员国的共同理解。

我们正在深入审查该条例草案,并将进一步提出意见。在这一点上,GER有很多问题。我们要感谢主席和委员会给我们这个机会来转达我们的问题和初步意见。

GER公司恳请对以下问题进行澄清。在这一点上,GER公司的优先考虑是以下问题。

  1. 欧盟CSA是如何支持预防线下儿童性虐待的?除了知情权和删除CSAM之外,还计划为儿童性虐待的受害者和幸存者提供哪些支持措施?
  2. 请委员会举例说明关于传播CSAM以及适合防止侦查令的诱导行为的可能缓解措施?
  3. 请委员会解释应如何设计供应商和应用程序商店的年龄验证?用户应该提供什么样的信息?关于诱导问题,你们的建议特别针对与儿童用户的交流。对儿童用户的识别是否应只通过年龄验证进行?如果发现有风险,提供者是否有义务植入用户注册和年龄验证?是否也要进行核查以识别滥用为儿童设计的应用程序的成人用户?
  4. 委员会是否同意这样的观点,即第26条指出使用端对端加密技术是保证用户通信安全和保密的重要工具,意味着用于检测虐待儿童的技术不应破坏端对端加密?
  5. 请委员会详细说明不破坏端到端加密技术、保护终端设备并仍能检测CSAM的技术?在使用技术检测在线儿童性虐待方面是否有任何技术或法律界限(现有或未来)?
  6. 在风险评估过程中,COM认为托管服务的提供者和人际交流的提供者需要采取什么样的(技术)措施?特别是,如果不应用第7条和第10条中提到的技术,提供者如何进行风险评估?如果这些供应商的服务是端到端加密的,他们如何履行义务?
  7. 避免误报的最先进技术有多成熟?当使用技术来检测诱导行为时,可以预期会有多大比例的假阳性命中?为了减少误报,委员会是否认为有必要规定,只有在方法符合某些参数的情况下(例如,有关内容的命中概率为99.9%),才会披露命中情况?
  8. 该提案是否为在GDPR第6条意义上的检测令背景下处理供应商的个人数据建立了法律基础?该提案是否为欧盟中心在2018/1725号条例意义上的侦查令背景下处理个人数据确立了法律依据?

此外,我们已经想提出以下问题。

风险评估和风险缓解。

  1. COM能否详细说明相关 “数据样本 “和风险评估义务的实际范围?特别是区分托管服务的提供者和人际通信服务的提供者。

  2. 委员会能否确认供应商自愿搜索CSAM仍然是(法律上)可行的?是否有计划扩大允许供应商搜索CSAM的临时条例?

  3. 在Art.3 par.2 (e) ii中,建议描述了社交媒体平台的典型特征。请COM描述一下这些平台的风险分析没有得出积极结果的情况?

关于侦查令。

  1. 建议23指出,如果可能的话,检测指令应限于服务的可识别部分,如特定用户或用户群。请委员会澄清如何确定具体的用户/用户群,以及在哪些情况下应只针对具体的用户/用户群发出检测令?

  2. 第7条第5款/第6款/第7款中规定的要求是否应累积理解?

  3. 委员会能否澄清 “重大风险的证据”?平台上有更多的儿童用户,并且他们的交流达到了第3条所述的程度,这是否足够了?

  4. 侦查令对提供者的技术措施要求有多详细?

  5. 请COM澄清第5b、6a、7b段的要求—适用哪种审查标准?如何衡量第7条第7款(b)项中的可能性?第7条第7款(b)项的可能性如何衡量?疑难问题原则是否适用于托管服务?

  6. 如何权衡第7条第(4)款(b)项中发布识别令的理由与所有相关方的权利和合法利益?这是基于具体的措施还是抽象的?

  7. COM是否已经收到提供者的反馈,特别是关于第7条的反馈?如果有,能否详细说明一般反馈意见?

  8. 鉴定令是如何具体说明要求提供者采取的措施的?在这方面,第7条第(8)款(“应针对并指定[检测命令]“)和第10条第(2)款(“不应要求提供者使用任何具体技术”)有什么联系?

  9. 在提案的第10页,它说:“检测网上儿童性虐待的义务比依赖提供者的自愿行动更可取,不仅是因为这些行动迄今已被证明不足以有效打击网上儿童性虐待(…)”COMs有什么证据证明这些自愿选择是不够的?

  10. 该条例草案与GDP第12条及以下规定的数据主体的权利有什么关系?12 et seq. of the GDPR, in particular article 22 GDPR?

  11. 关于数据保护监督机构在GDPR和其他现有或正在谈判的欧洲法案(如DSA)下的现有任务,如何才能达到对识别命令的有效控制?

  12. 第9条中的 “所有受影响方 “是否包括传播CS的用户?9条中的 “所有受影响方 “是否包括传播CSAM或招揽儿童但仍被检查的用户?

技术

  1. 哪些技术原则上可以使用?微软Photo ID是否符合要求?

  2. 与云服务有关的技术是否也应该能够访问加密的内容?

  3. 如何保证或验证这些技术的质量?CSA提案与《人工智能法》草案的关系如何?

  4. 如何根据第10(2)条评估供应商自身技术的等效性,以及这与供应商援引商业秘密的能力有何关系?

  5. 该技术能否被设计用来区分正常/非虐待环境中的儿童图片(例如在海滩)和CSAM?

  6. 文本分析软件能否区分成人(父母、亲戚、教师、体育教练、朋友等)和儿童之间的合法谈话与诱骗情况?

  7. 你想如何确保供应商只使用技术—特别是欧盟中心提供的技术—来执行检测命令?

  8. 我们将如何处理错误?应如何发现最终的滥用情况?

  9. 能否请您详细说明人工监督以及如何通过所使用的技术来防止错误?

  10. 您希望供应商如何告知用户 “对用户通信保密性的影响”?这是否是由于发布侦查令而产生的责任?或者它可以是条款和条件的一部分?

  11. 文件/图像托管的提供者,如果不能访问他们所存储的内容,是否属于该条例的范围?

进一步的提供者义务

  1. 本建议中的报告义务与目前NCMEC的报告有什么关系?如何才能最好地简化这两个过程?如何保证既不发生报告的重复也不发生报告的丢失?

  2. 在报告义务方面,协调机构应该发挥什么作用?

  3. 关于欧盟范围内取消CSAM的问题,委员会如何处理各国在刑法方面的差异?

  4. 委员会预计向欧盟CSA报告的案件数量是多少?有多少案件将被转交给国家主管执法部门和/或欧洲警察组织?

  5. 获得有效补救的权利是否会受到第14条规定的义务的影响?第14条规定的在24小时内执行驱逐令的义务是否会影响有效补救的权利?

  6. 在什么时候可以假定内容的知识是由提供者获得的,是否需要人类知识?

  7. 在发布命令的过程中,COM对信息链中的各个 “行为者 “采取何种审查标准?这是否包括对每个案件的人为评估/审计的要求?

  8. 为什么欧洲刑警组织应参与所有案件,即不仅仅是在会员国责任不明确的情况下?

  9. 在实践中,如何将封杀令限制在服务的特定内容或领域,或者只能封杀对整个服务的访问?

  10. 如果云服务收到关于特定用户的可疑活动报告,它们是否必须阻止对加密内容的访问?

处罚

  1. 为什么你选择了一个关于处罚的判断空间?

  2. 第35条是否适用于误用的情况?第35条是否适用于滥用技术或未建立有效措施来防止这种滥用的情况(第10条第4款)?

  3. 为什么该提案不遵循《TCO条例》中规定的制裁?

  4. 第35条第2款能否仅限于违反一项中心义务或少数中心义务的情况?

信息共享系统

  1. 第39条第2款没有规定国家执法机关与信息交流系统直接相连。报告将以何种方式传递给国家执法机关?

  2. 信息共享系统应包括哪些内容?如何才能最好地平衡有效性和数据保护?

  3. 只有欧盟CSA和欧洲刑警组织可以直接访问指标数据库(第46(5)条),国家LEA/国家协调机构如何才能最好地参与信息?委员会是否认为有必要建立一个新的界面,以便让国家当局知道可能会有进一步的信息?

欧盟委员会和欧洲警察组织

  1. 关于拟议的欧盟中心与欧洲刑警组织的合作,委员会如何具体设想这两个实体之间的任务分配,以确保避免任何重复工作?

  2. 我们注意到,委员会的影响评估没有进一步审查将预防和支持受害者的任务纳入FRA以及将与执法有关的任务纳入欧洲警察组织而不是建立一个新实体的可能性。相反,似乎这种可能性在初步审查后就被放弃了。因此,我们想知道为什么当初没有进一步研究这个方案?此外,我们恳请委员会解释其期望从创建一个新的实体而不是将任务分配给FRA和欧洲刑警组织共同完成的好处?

  3. 立法提案预计,欧洲刑警组织应向欧盟CSA提供某些 “支持服务”。欧盟CSA应在欧洲刑警组织利用哪些具体手段和服务?如何将这些支持任务与欧盟CSA的任务区分开来?在这种情况下,我们想问,如果是的话,COM为欧洲刑警组织估计会有多少额外的资源?

  4. 欧洲刑警组织应如何处理这种资源方面的支持,委员会如何确保这种支持不会以牺牲欧洲刑警组织的其他任务为代价?

  5. 欧盟CSA的拟议治理结构如何才能最好地与欧洲刑警组织的治理结构相协调,以确保在委员会和成员国之间不产生不平衡?

  6. 草案第53(2)条涉及相互获取与欧洲刑警组织有关的相关信息和信息系统。我们是否可以认为,该条款并没有对信息的获取作出规定,因为其中提到了相关的规定(“根据欧盟法律中关于此类获取的规定”)?那么,该条款的具体监管内容是什么?请解释。

  7. COM估计欧盟CSA可以在哪个时期开始工作(同时可能还没有完全运作)?

  8. 根据该提案,图像在哪个阶段被删除?

  9. 根据第64(4)(h)条,如果存在损害欧盟财政资源的犯罪行为,即将成立的欧盟CSA的执行主任可以实施经济处罚。这与EPPO的程序有何关系?

  10. 该提案如何确保欧盟CSA的权限不与欧洲司法组织的权限相冲突?