Komentář: Od šmírování k byrokracii. „Chat control“ je stále nebezpečný

Nařízení známé pod označením „chat control“ se stalo před letošními sněmovními volbami zřejmě nejznámější chystanou evropskou legislativou. Strany se předháněly v tom, kdo ho radikálněji odmítá, což bylo komické zejména u těch vládních, protože Fialova koalice měla jeho prosazení jako jednu z priorit českého předsednictví v Radě EU v roce 2022.

Zcela zastavit rozjetý vlak se nepodařilo. Na zasedání příslušných ministrů došlo i přes české „ne“ ke schválení kompromisního návrhu, který podle většiny členských států dostatečně bojuje proti zneužívání dětí na internetu a zároveň zachovává adekvátní míru důvěrnosti komunikace na internetu.

Ve finálním návrhu vyjednavači řadu věcí proškrtali a řadu naopak doplnili. Významné vychýlení směrem k omezení soukromí tam však stále je.

Nejdříve ale to dobré: Obavy z plošného skenování internetového provozu či povinného plošného skenování obsahu před tím, než je odeslán z jednoho zařízení (typicky třeba mobilního telefonu) na druhé, což byl hlavní důvod, proč se nařízení začalo říkat „„chat control“, už nejsou na místě. Příslušné detekční příkazy a na to navázané povinnosti byly úplně vyškrtnuty.

Tím ovšem dobré zprávy končí.

Zkušenosti velí číst evropskou legislativu od konce, protože tam obvykle najdeme kontroverzní a nepříliš populární opatření. A samozřejmě i v „chat control“ je až v článku 85 nevinně znějící úkol pro Evropskou komisi předložit…. „zprávu, v níž posoudí nutnost a proveditelnost zahrnutí povinností v oblasti detekce do působnosti tohoto nařízení.“

„Posouzení zahrnuje analýzu stavu vývoje a připravenosti technologií pro odhalování materiálů zobrazujících sexuální zneužívání dětí a navádění dětí k sexuálnímu zneužívání, vč. v rámci služeb mezilidské komunikace využívajících šifrování typu end-to-end, a míry chybovosti.“

To je zcela zjevný trojský kůň, který má zajistit, aby se časem povinné šmírování obsahu a prolomení koncového šifrování vrátilo mezi možná opatření v boji proti šíření dětské pornografie. Snad si toho Evropský parlament všimne a europoslanci, kteří mají normu teď na stole, budou trvat na tom, aby to z návrhu zmizelo.

Horší je, že mechanismus boje proti zneužívání dětí na internetu je nyní vystavěný úplně jinak, v podstatě jde o byrokratickou obludu. Když se totiž nepodařilo prosadit plošné sledování zpráv zhora, snaží se návrh prosadit co nejvíce šmírování uživatelů zdola. A přenáší velkou část odpovědnosti na poskytovatele služeb. Bez ohledu na jejich velikost nebo ekonomickou výkonnost.

Jak to má fungovat? Provozovatelé hostingů a komunikačních služeb budou muset zpracovat detailní analýzu rizik, v níž musí popsat možné hrozby dané platformy pro zneužívání dětí, ať již jde o šíření dětské pornografie či grooming, tedy snahu o navazování důvěrného vztahu s dětmi za účelem jejich zneužití. A také detailně popsat, jakým způsobem se s tím vším sama platforma vypořádává. A protože to není dost, musí provést ještě sebehodnocení dle mustru, který je - jak jinak - úplně na konci nařízení ve dvacetistránkové příloze číslo 14.

V tomto nesmírně komplikovaném systému bodového hodnocení jsou poskytovatelé výrazně motivováni k tomu, aby - pokud nechtějí být klasifikovaní jako „vysoce rizikoví“ - své uživatele sledovali co nejvíce a umožňovali jim důvěrnou a soukromou komunikaci co nejméně.

Zjevně plusové body dostanou i za to, pokud umožní neomezený přístup k uloženým datům bezpečnostním složkám. Také možnost přímé komunikace mezi uživateli je považovaná za nejvíce rizikovou, rovněž šifrovaná komunikace je hodnocená jako vysoce riziková, protože je v ní „potenciál zneužití“. Zveřejňování a sdílení multimediálního obsahu jsou také vysoce rizikové aktivity, protože mohou snadno šířit škodlivý materiál. Materiál v podstatě navádí poskytovatele služeb, aby šifrovanou komunikaci poskytovali pouze na žádost uživatele a nikoli jako standard.

Body dostanou provozovatelé i za to, když „disponují komplexním systémem předběžné moderace, který důkladně prověřuje veškerý obsah před jeho zveřejněním, čímž minimalizuje riziko, že se k uživatelům dostane škodlivý obsah.“ Přeloženo do lidské řeči, pokud firmy a platformy šmírují uživatele preventivně, je to z hlediska návrhu dobře, protože snižují riziko šíření dětského porna.

Motivaci nebýt posouzeni jako „vysoce rizikoví“ budou mít provozovatelé velkou, protože jinak to s sebou nese různé povinnosti a dohled ze strany úřadů. Takový poskytovatel služeb musí přispět dle svých finančních, technických a provozních kapacit na vývoj technologií ke zmírnění rizika sexuálního zneužívání dětí zjištěného v jeho službách. Tento vývoj bude pod nově vytvořeným „Evropským centrem proti sexuálnímu zneužívání dětí“, což bude další evropská agentura, která bude mít řadu vlastních úkolů.

Například bude udržovat bezpečnou databázi již nalezeného materiálu zobrazujícího zneužívání dětí - což je v pořádku, protože se ukazuje, že pokud je tento obsah odstraněn rychle, významně to omezuje jeho další šíření. Zároveň bude koordinovat jednotlivé „kompetentní úřady“ v členských státech. Pro nás to znamená, že tu vzniknou na nějakém úřadě či ministerstvu nová úřednická místa, aby měl kdo dohlížet na poskytovatele služeb, kteří mají sídlo v Česku.

Návrh vůbec neřeší, zda daná služba nápor nové byrokracie zvládne. S digitálními regulacemi se to stává v EU poměrně často. Úředníci a následně zákonodárci mají pocit, že musí vyřešit „problém“, ať už je to cokoli, a onen „problém“ vnímají hlavně přes velké americké digitální firmy jako je Meta, Microsoft nebo Alphabet.

Reálná regulace ale kromě nich dopadne ještě na tisíce menších hráčů. Američtí giganti sice na regulaci reagují brbláním, ale vyplňovat různé zprávy o transparentnosti pro ně zas takový problém není. Třeba Meta uvedla v roce 2023, že zmobilizovala napříč svými platformami přes tisíc lidí k tomu, aby zajistila soulad s nařízením o digitálních službách (DSA).

Menší evropské firmy si ale pochopitelně tisíc lidí jen na reporting dovolit nemůžou. Pro představu o možných dopadech tohoto nařízení proti zneužívání dětí online na provozovatele si můžeme vzít jako příklad aplikaci Signal, která by svým důrazem na soukromí a bezpečnou komunikaci byla zřejmě vyhodnocena jako „vysoce riziková“.

Tento jednoduchý, ale široce používaný messenger má asi padesát zaměstnanců, z nichž většina má jiné věci na práci, než vyplňovat mnohasetstránkové (!) zprávy pro úřady a odškrtávat si rizika v seznamu. Není se čemu divit, že proti návrhu stále bojuje a hrozba, že pokud bude přijat, tak ukončí svou činnost v EU, je celkem reálná.

Další nášlapnou minou je ověřování věku při přístupu ke službám jako jsou chatovací aplikace. Opatření mají podle návrhu „chránit soukromí, respektovat zásady týkající se zpracování osobních údajů, zejména zásady zákonnosti, omezení účelu a minimalizace údajů, být přiměřená, transparentní, účinná, přesná, nediskriminační, přístupná a primárně zohledňovat nejlepší zájem dítěte.“

To je ovšem neproveditelné. Opatření k ověřování věku může být z definice účinné, nebo chránit soukromí, ale nikoli obojí naráz. Zkušenosti ze světa ukazují, že jakékoli ověřování vystavuje uživatele poměrně zásadnímu nebezpečí úniku dat, protože služby či aplikace, které to vyžadují, jsou velmi lákavým cílem kyberútočníků.

Letos v červenci došlo v USA k prolomení aplikace Tea, která umožňuje ženám vyměňovat si anonymně informace o mužích, se kterými se chtějí scházet. Aplikace k registraci vyžaduje fotku a nějaký osobní doklad. Kvůli úniku dat bylo možné spárovat konkrétní uživatelky s konkrétními příspěvky, což samozřejmě představuje poměrně velký bezpečnostní problém.

V říjnu pak došlo k útoku na oblíbenou chatovací službu Discord. Není jasné, zda za něj může přímo on či jeho dodavatel technologie pro ověřování věku 5CA, který to popírá. Příkladů dalších průšvihů aplikací a různých technologií pro ověřování je mnoho.

Evropští poslanci jsou momentálně pod značným tlakem, protože v dubnu 2026 vyprší dočasná legislativa, na jejímž základě mohou různé platformy a aplikace dobrovolně kontrolovat uživatele, zda si mezi sebou neposílají materiál splňující definici zneužívání dětí. Toto nařízení moc nefunguje a bude tak velký tlak udělat „aspoň něco“.

Návrh, který odsouhlasila Rada EU je ale natolik špatný, že by jej měl jediný demokraticky volený sbor na evropské úrovni odmítnout jako celek. Případně jít tvrdě do dalšího vyjednávání a všechny byrokratické povinnosti, které jsou tam navymýšlené, osekat.

Je to vlastně paradox - ti samí zástupci členských států i europoslanci, kteří nyní v rámci deregulačních opatření přemýšlejí nad tím, jak osekat byrokracii a usnadnit byznysu fungování v EU, zároveň chtějí schválit nařízení, které navalí další administrativu na digitální firmy. Aniž by zásadně víc ochránila, koho chránit má, tedy děti.