O kontroverzním „šmírovacím“ zákoně, který umožní plošnou kontrolu chatů, by měla Rada EU hlasovat už 14. října. Proti návrhu dánského předsednictví se zatím jasně vymezily pouze tři státy. „Je jen otázkou času, než volby vyhraje někdo, kdo existující nástroje využije k potlačení disentních názorů,“ varuje v rozhovoru pro Aktuálně.cz specialista na kybernetickou bezpečnost Michal Altair Valášek.
Jak má podle současného návrhu EU kontrola chatů technicky fungovat?
Každý bude mít ve svém zařízení svého dedikovaného Bretschneidera (detektiv z Osudů dobrého vojáka Švejka, pozn. red.). Komunikační aplikace by před odesláním zprávy a jejím případným zašifrováním měly zkontrolovat, zda neobsahuje úředně závadový obsah.
Co by to v praxi znamenalo pro poskytovatele chatovacích aplikací?
Museli by modifikovat aplikace, aby takovou funkcionalitu obsahovaly. Což znamená jisté náklady, rizika a hlavně faktické snížení bezpečnosti aplikací.
Je možné odhalovat materiály zobrazující sexuální zneužívání dětí (CSAM), aniž by došlo k plošnému sledování komunikace?
Ano. Jedná se o trestnou činnost jako jakoukoliv jinou a proti zločinu se typicky nebojuje plošným sledováním každého, zda náhodou něco nepáchá. Bezpečnostní složky budou muset používat klasickou policejní práci.
Stejně jako se u každého narozeného dítěte preventivně nezkoumá, zda nebylo počato například znásilněním nebo v rámci trestného činu soulože mezi příbuznými, není důvodu plošně kontrolovat, zda jedna každá zpráva neobsahuje závadové materiály. To je míra kontroly, kterou se zatím podařilo realizovat pouze v KLDR.
Jak spolehlivé jsou technologie skenování klientů?
Vůbec. Zkušenost ukazuje, že automatizované hodnocení souladu obsahu komunikace s vágně definovanými pravidly prostě nefunguje. Ani pokroky v oblasti AI na tom nic nezměnily, spíš to zhoršily. Nedá se předpokládat, že by se to v dohledné budoucnosti změnilo.
Detekční algoritmy dávají falešně pozitivní i falešně negativní výsledky, a navíc neznají kontext. To znamená, že mohou špatně vyhodnotit obsah sdělení, např. co je na fotografii. A i pokud to poznají správně, jsou notoricky neschopné pochopit kontext. Fotografie nahého dítěte nemusí být nutně CSAM. Běžně si takové fotografie mohou například posílat rodiče a blízcí příbuzní, pro které jistě nemají sexuální podtext.
Můžeme to pokládat za nevkusné, ale nemělo by to být předmětem státního silového zásahu. Obsahově zcela totožná fotografie v jiném kontextu některé definice CSAM naplňovat může, ovšem to strojově nelze posoudit.
Byl třeba zaznamenán případ, kdy byli pro podezření z distribuce dětské pornografie vyšetřováni dva muži. Jednalo se o otce a dětského lékaře, kterému otec na jeho žádost poslal fotografie intimních partií dítěte s nějakou kožní nemocí.
Nemohl by tento zákon vytvořit precedens pro další regulace internetu?
Ano, v tom spočívá jeho velké nebezpečí. Protože jakmile je jednou zaveden nějaký mechanismus, legislativní nebo technický, je jeho rozšíření věcí drobné parametrické změny.
Za CSAM si můžete dle libosti dosadit jakýkoliv druh materiálu, který momentálně vládnoucí moci není libý. Ostatně vidíme to i v rámci České republiky. Nejdřív přišlo blokování webů bez soudu ministerstvem financí kvůli hazardu. A už tady máme blokování SÚKL kvůli neschváleným léčivům, OČTŘ jaksi preventivně v rámci trestního řízení a vládou zcela mimo zákonný rámec kvůli politické situaci.
Online Safety Act ve Velké Británii nakonec kvůli kritice od skenování šifrovaných zpráv ustoupil. Nesměřovalo by v případě EU ke stejnému scénáři?
Zrovna Velkou Británii bych jako příklad šťastného konce úplně nedával, protože tato země je na tom z civilizovaného světa s ochranou digitálního soukromí snad nejhůře. Sice jeden konkrétní krok nevyšel, ale jiná omezení šifrování ano.
Samozřejmě že scénář, kdy odpor bude příliš velký a návrh bude stažen, je jednoznačně nejlepší. Ale nelze na něj spoléhat. Kromě toho, snahy o zavedení té či oné formy plošné kontroly elektronické komunikace se periodicky opakují od doby, co elektronické komunikace existují.
Každý horko těžko těsně poražený návrh se za pár let později vrátí znovu, zabalený do jiného papíru a kosmeticky upravený. A platí zde totéž, co všude jinde v kybernetické bezpečnosti: zatímco obránce musí vykrýt jeden každý útok, aby byl úspěšný, útočníkovi stačí být úspěšný jednou. A jakmile se něco takového podaří jako závazné prosadit, šance na zrušení je velmi malá.
Nabízí se srovnání kontrolou komunikace v Číně. I když je návrh EU prezentován s dobrým úmyslem ochrany dětí, nemohlo by v kombinaci s rostoucí nutností ověřování identity v online službách dojít v nesprávných rukou k podobnému scénáři?
Ne, že by mohlo dojít. Dojde. Je to otázka jedněch voleb. Dříve nebo později volby vyhraje někdo, kdo existující nástroje použije k maximálnímu potlačení disentních názorů. Proto je tak obrovsky důležité jim vzdorovat.
Jestliže v dobrých rukách jsou jenom principiálně ohavné, ve špatných jsou katastrofou. A zákony je nutné navrhovat tak, aby nebyly katastrofou ani ve chvíli, kdy volby vyhraje ten, kdo se nám nejméně líbí.
Jak by to ovlivnilo bezpečnost komunikace uživatelů? Nebyli by více ohroženi hackerskými útoky nebo úniky dat kvůli narušení E2E šifrování?
Bezpečnost by to ovlivnilo samozřejmě negativně. Jakmile do něčeho jednou uděláte díru, je bláhové spoléhat na to, že se do ní vecpe jenom ten, komu to úředně dovolíme.
Jak by reagovaly velké firmy, například Meta, Google, Apple? Přizpůsobily by se, nebo by odešly z evropského trhu? Signal už pohrozil, že by se z EU stáhl…
S největší pravděpodobností by se tito velcí hráči podvolili. Jejich cílem není zajistit uživatelům bezpečnou a soukromou komunikaci, ale vydělávat peníze. A EU je příliš velký trh, než aby se vyplatilo ho jen tak opustit.
Ostatně je zde už i precedent: společnost Apple také neopustila trh ve Velké Británii, když tam schválili omezení šifrování. Prostě všem britským uživatelům zakázala vytváření šifrovaných záloh.
Existují jiné alternativy, jak chránit děti v online prostředí, aniž by docházelo k masovému sledování? Jaká by byla ideální rovnováha?
V první řadě, celý problém „dětské pornografie“ je – a vždycky byl – velká nafouknutá bublina. Neříkám že neexistuje, ale je výrazně, řádově méně závažný, než jak je veřejně prezentováno. Rozhodně se nejedná o problém takového rozsahu, aby ospravedlňoval drakonická řešení, jaká jsou zpravidla navrhována.
Bohužel se jedná o posvátnou krávu, a kdokoliv se odváží proti libovolnému opatření na toto téma ozvat – bez ohledu na to, jak absurdní je – okamžitě si vykoleduje spoustu nelichotivých označení. Veřejně říct, že tento problém sice existuje, ale vždycky existovat bude a záchrana malého počtu obětí nemůže být důvodem pro plošnou šikanu celé populace, je v podstatě politická sebevražda.
Počet dětí skutečně zneužívaných pro tvorbu pornografie se navíc bude logicky snižovat s tím, jak se budou zlepšovat schopnosti generativního AI. Už teď je výrazně jednodušší a méně rizikové pro generování tohoto obsahu používat generativní modely než fyzicky někoho fotografovat. Bohužel represivní složky na to reagují přesně opačně, než by měly.
Jak by měly podle vás reagovat?
Místo aby se zaměřily na skutečnou ochranu skutečných obětí a potrestání těch, kdo jim ublížili, plošně kriminalizují cokoliv, co jde kolem. Takže podle platného českého práva je trestné byť jenom přechovávat pornografii – včetně písemné – která zachycuje osobu „jevící se býti dítětem“, tj. mladší 18 let.
Přičemž ani pojem „pornografie“ ani ono „jevení se“ není nijak přesně definovatelné. Pokud si budete kreslit do deníčku sprosté obrázky někoho, kdo vypadá na sedmnáct, můžete jít do vězení.
Podle litery zákona, pokud si sedmnáctiletý mladík do deníčku detailně zapíše svůj vzrušující (a zcela legální) zážitek se stejně starou slečnou, naplní skutkovou podstatu trestného činu. Pokud si ti dva budou vyměňovat dostatečně detailní milostné zprávy, jsou zločinci oba.
S takovým přístupem je vypuštění hloupých robotů na veškerou elektronickou komunikaci poddaných v EU vyloženě hazardem.
A jak to tedy udělat jinak a lépe?
Pojmeme-li „ochranu dětí v online prostředí“ šířeji, pak spočívá zejména v jejich vzdělání. V tom, aby i o citlivých tématech dokázali dospělí komunikovat důvěryhodným způsobem a aby nezletilí věděli, že mají reálnou šanci se dovolat pomoci, budou-li to potřebovat. Jaké šance v tomto směru má české školství, nechávám s dovolením na posouzení čtenáře.
