Проблемы с безопасностью детей в ЕС застряли, так как истекла дерогация по ePrivacy, приложение для проверки возраста было взломано, а Регламент по защите детей застрял в трилоге.

      Резюме: Усилия Европы по защите детей в интернете столкнулись с ее собственной архитектурой конфиденциальности. Дерогация ePrivacy, позволяющая добровольное сканирование CSAM, истекла 3 апреля после того, как парламент проголосовал 311-228 против ее продления, новое приложение ЕС для проверки возраста, объявленное 15 апреля, было взломано менее чем за две минуты, а Регламент CSA ("Контроль чата") застрял в трилоге с дедлайном в июле. ЕСПЧ постановил, что бэкдоры для шифрования нарушают основные права, в то время как GDPR, DSA и предложенный Регламент CSA требуют знать, является ли пользователь ребенком, что само по себе требует сбора данных, которые закон о конфиденциальности запрещает собирать о детях.

      3 апреля Европейский парламент проголосовал 311 против 228 за истечение своей временной дерогации ePrivacy. Эта дерогация позволяла таким платформам, как Meta, Google и Microsoft, добровольно сканировать личные сообщения на наличие материалов сексуального насилия над детьми, не нарушая законов о конфиденциальности ЕС. Когда она истекла, юридическая основа для этих сканирований исчезла. Двенадцать дней спустя Европейская комиссия объявила о новом приложении для проверки возраста, сохраняющем конфиденциальность, предназначенном для защиты детей в интернете. Исследователи взломали его менее чем за две минуты. Между истекшим законом и сломанным приложением находится вся проблема: Европа хочет защитить детей от онлайн-эксплуатации, но каждый инструмент, который она создает для этого, сталкивается с архитектурой конфиденциальности, которую она строила на протяжении десяти лет. В результате получается регулирующая система, находящаяся в конфликте с самой собой, где механизмы, необходимые для нахождения пострадавших детей, требуют сбора именно тех данных, которые закон ЕС говорит, что нельзя собирать о детях.

      Пробел в сканировании

      Дерогация ePrivacy была введена в 2021 году как временная мера. Европейская комиссия предложила Регламент о сексуальном насилии над детьми, известный официально как Регламент CSA и неофициально как Контроль чата, который обязывал бы платформы обнаруживать и сообщать о CSAM в личных сообщениях, включая сообщения с сквозным шифрованием. Регламент должен был заменить добровольную рамку в течение трех лет. Этого не произошло. Трилоговые переговоры между парламентом, советом и комиссией затянулись с 2022 года, следующая запланированная встреча назначена на 4 мая, с целью достижения политического соглашения к июлю. Тем временем дерогация истекла. Национальный центр пропавших и эксплуатируемых детей в США, который обрабатывает большинство глобальных отчетов о CSAM, предупредил, что истечение срока действия приведет к заметному снижению направлений от европейских платформ. Meta подтвердила, что приостановила добровольное сканирование в ЕС. Позиция парламента заключается в том, что дерогация несовместима с основным правом на конфиденциальность коммуникаций. Позиция организаций по безопасности детей заключается в том, что парламент только что сделал законным для платформ игнорировать материалы насилия, находящиеся в их системах.

      Регламент CSA, предложенный комиссией, потребует от платформ использовать приказы на обнаружение, выданные новым Центром ЕС, для сканирования сообщений на наличие известного CSAM, нового CSAM и поведения по подготовке. Парламент исключил наиболее спорные элементы: он отклонил сканирование сообщений с сквозным шифрованием, ограничил обнаружение известным материалом с использованием технологии хэш-сопоставления и исключил коммуникации в реальном времени. Совет, возглавляемый ротационной президентурой, которая настойчиво добивается доступа правоохранительных органов, хочет более широких полномочий для сканирования, включая неизвестный материал и поведение по подготовке. Расстояние между двумя позициями не является деталью, которую можно было бы обсудить. Это фундаментальное несогласие о том, могут ли частные коммуникации систематически контролироваться для защиты детей, и Европейский суд по правам человека уже указал, на какой стороне он стоит.

      Стена шифрования

      В феврале ЕСПЧ постановил в деле Подчасов против России, что требование к платформам ослабить или создать бэкдоры для сквозного шифрования нарушает статью 8 Европейской конвенции о правах человека, право на уважение частной жизни и переписки. Постановление было направлено на российский закон, обязывающий мессенджеры предоставлять ключи для расшифровки ФСБ, но его логика напрямую применима к предложенным приказам на обнаружение Регламента CSA. Если платформа не может сканировать зашифрованные сообщения без ослабления шифрования, а ослабление шифрования нарушает основные права, то регламент не может предписывать то, что его авторы намеревались предписать. Президент Signal, Мередит Уиттакер, заявила, что организация покинет ЕС, а не будет выполнять закон, требующий компрометации ее протокола шифрования. Apple отключила свою функцию Расширенной Защиты Данных для пользователей в Великобритании после того, как британское правительство выпустило уведомление о технических возможностях в соответствии с Законом о следственных полномочиях, требуя бэкдорного доступа к данным iCloud. Дебаты о шифровании больше не являются теоретическими. Компании уже принимают юрисдикционные решения на основе того, где правительства требуют доступа к частным коммуникациям.

      Европейский комитет по защите данных и Европейский контролер по защите данных оба выпустили мнения, предупреждающие о том, что Регламент CSA, как он был разработан комиссией, будет несоразмерным и несовместимым с основными правами ЕС. EDPS конкретно отметил, что сканирование на стороне клиента, техника, предложенная в качестве альтернативы нарушению шифрования путем сканирования содержимого на устройстве до его шифрования, все равно представляет собой массовое наблюдение, поскольку обрабатывает каждое сообщение для выявления незаконных. Различие между сканированием до шифрования и сканированием после шифрования технически имеет значение, но юридически несущественно, если результатом является то, что каждое частное сообщение анализируется автоматизированной системой. Переговорная позиция парламента отражает этот анализ. Позиция совета — нет.

      Парадокс проверки возраста

      Пока Регламент CSA застрял, отдельные государства-члены продвигаются вперед с ограничениями на основе возраста. Франция запрещает детям младше 15 лет доступ к социальным сетям без согласия родителей. Испания установила порог на уровне 16 лет. Греция запретит социальные сети для детей младше 15 лет с 2027 года. Порог Австрии составляет 14 лет. Норвегия планирует запретить социальные сети для детей младше 16 лет и разрабатывает национальную систему проверки возраста для ее соблюдения. Ускоряющееся стремление Европы к возрастным ограничениям в социальных сетях привело к созданию мозаики национальных законов без общего механизма исполнения, что как раз и было проблемой, которую приложение ЕС для проверки возраста должно было решить.

      Приложение комиссии, объявленное 15 апреля, было разработано для проверки возраста пользователя без раскрытия его личности платформе, система нулевых знаний, которая подтвердила бы, что кто-то старше заданного возрастного порога, не передавая их дату рождения, имя или какие-либо другие личные данные. Оно было представлено как техническое решение парадокса проверки возраста без сбора данных о возрасте. Исследователи безопасности продемонстрировали менее чем через две минуты после его выпуска, что процесс проверки приложения можно обойти, подрывая доверие к единственному инструменту, который комиссия предложила в качестве доказательства того, что технически возможно обеспечить безопасность детей, сохраняя конфиденциальность. Новое приложение ЕС для проверки возраста, сохраняющее конфиденциальность, должно было продемонстрировать, что компромисс между защитой детей и минимизацией данных можно разрешить с помощью инженерии. Его немедленный провал продемонстрировал обратное.

      Юридическое столкновение

      Закон о цифровых услугах, который вступит в полную силу в 2024 году, требует от платформ оценивать и смягчать системные риски для несовершеннолетних в соответствии со статьей 28, включая воздействие вредного контента, манипуляцию через дизайн интерфейса и обработку личных данных способами, которые эксплуатируют уязвимости детей. Руководящие принципы DSA инструктируют платформы внедрять соответствующие возраст