Avrupa Birliği, güçlü gizlilik yasaları konusunda uzun süredir bir üne sahiptir. Ancak bloğun resmi olarak Mayıs 2022’de sunduğu, çocuk istismarıyla mücadeleye yönelik yasama planı, yüz milyonlarca bölgesel mesajlaşma uygulaması kullanıcısının mahremiyetini ve güvenliğini düşürmekle tehdit ediyor.
Taslağı hazırlayan AB yasama organı olan Avrupa Komisyonu teklifbunu, çocuk cinsel istismarı materyallerini (CSAM) dağıtmak ve hatta yeni mağdurlara erişim sağlamak için mesajlaşma uygulamalarını giderek daha fazla kullandığını iddia ettiği çocuk istismarcıları tarafından ana akım teknoloji araçlarının kötüye kullanılmasıyla mücadele ederek çocukların çevrimiçi haklarını korumaya yönelik bir plan olarak çerçeveliyor.
Belki de çocuk güvenliği teknolojisi sektöründeki lobi faaliyetlerinin bir sonucu olarak, AB’nin benimsediği yaklaşım tekno-çözümcü bir yaklaşımdır. Komisyonun girişimi, yasadışı faaliyetleri tespit etmek ve bildirmek amacıyla kullanıcıların iletişimlerini taramak için teknoloji araçlarını kullanma yönünde yasal bir görev yükleyerek dijital hizmetleri (özellikle mesajlaşma uygulamalarını) düzenlemeye odaklanıyor.
Birkaç yıldır ana akım mesajlaşma uygulamaları, bloğun dijital iletişimin gizliliğiyle ilgilenen e-Gizlilik kurallarından geçici olarak muaf tutuluyor; bu istisna Mayıs 2025’e kadar sürecekson uzantısına göre – belirli senaryolarda insanların CSAM için iletişimlerini gönüllü olarak tarayabilirler.
Ancak çocuk istismarı düzenlemesi, esas olarak AB genelinde yapay zeka tabanlı içerik taramasını zorunlu kılan kalıcı kurallar oluşturacaktır.
Teklifi eleştirenler bunun, mesajlaşma platformlarının varsayılan olarak kullanıcıların özel yazışmalarını taramak için kusurlu teknolojileri kullanmaya zorlandığı bir duruma yol açacağını ve bunun da insanların mahremiyeti açısından ciddi sonuçlar doğuracağını savunuyorlar. Ayrıca, yasanın içerik tarama taleplerine uymak için uçtan uca şifrelenmiş (E2EE) uygulamaları güvenliklerini düşürmeye zorlayacağı için bunun AB’yi güçlü şifrelemeyle çatışma rotasına soktuğu konusunda da uyarıyorlar.
Teklifle ilgili endişeler o kadar ciddi ki bloğun kendi veri koruma sorumlusu geçen yıl bunun demokratik haklar açısından bir dönüm noktası olduğu konusunda uyardı. Avrupa Konseyi’ne bağlı bir hukuki danışmanlık hizmeti de, değerlendirmesine sızan bir bilgiye göre bunun AB yasalarıyla uyumsuz olduğunu düşünüyor. AB hukuku, genel bir izleme yükümlülüğünün getirilmesini yasaklıyor, dolayısıyla yasanın geçmesi durumunda hukuki itirazlarla karşı karşıya kalınması neredeyse kesin.
Şu ana kadar AB’nin yasa koyucuları dosya üzerinde ileriye dönük bir yol üzerinde anlaşamadılar. Ancak yasa taslağı, doğurduğu tüm riskler gibi yürürlükte olmaya devam ediyor.
Geniş kapsamlı CSAM tespit emirleri
Komisyonun orijinal teklifi, platformların tespit kararı verildiğinde insanların mesajlarını yalnızca bilinen CSAM için değil (yani daha önce tespit edilen ve tespit için hashing uygulanmış çocuk istismarı görüntüleri) değil, aynı zamanda bilinmeyen CSAM için de taraması gerektiği yönünde bir gereklilik içeriyor ( yani yeni istismar görüntüleri). Bu, yasa dışı içeriğin yüksek doğruluk derecesi ve düşük hatalı pozitif sonuçlarla tespit edilmesine yönelik teknik zorluğu daha da artıracaktır.
Komisyonun teklifindeki diğer bir bileşen, platformların bakım faaliyetini gerçek zamanlı olarak belirlemesini gerektiriyor. Bu, CSAM için görüntü yüklemelerini taramanın yanı sıra, uygulamaların, yetişkin bir kullanıcının ne zaman reşit olmayan bir kişiyi cinsel aktiviteye katılmaya ikna etmeye çalıştığını anlamaya çalışmak için kullanıcıların iletişimlerinin içeriğini ayrıştırabilmesi gerektiği anlamına gelir.
Uygulama kullanıcıları arasındaki genel etkileşimlerde gelecekteki suistimallerin habercisi olabilecek davranış işaretlerini tespit etmek için otomatik araçların kullanılması, masum sohbetlerin yanlış yorumlanması için büyük bir alan olduğunu göstermektedir. Teklifin karşıtları, Komisyon’un geniş kapsamlı CSAM tespit gerekliliklerinin birlikte ele alındığında ana mesaj platformlarını kitlesel gözetleme araçlarına dönüştüreceğini öne sürüyor.
“Sohbet kontrolü”, AB’nin özel vatandaşların dijital mesajlarının kapsamlı bir şekilde taranmasını (insanların gönderdiği metin alışverişlerinin taranmasına kadar) talep eden bir yasayı geçirmesiyle ilgili endişeleri kapsamak için buldukları ana isimdir.
Uçtan uca şifrelemeye ne dersiniz?
Çocukların cinsel istismarıyla mücadeleye yönelik orijinal Komisyon teklifi, E2EE platformlarını CSAM tespit gerekliliklerinden muaf tutmaz.
Ayrıca, E2EE’nin kullanılması, bu tür platformların kullanıcıların iletişimlerinin okunabilir sürümlerine erişme kabiliyetine sahip olmadığı anlamına geldiğinden (çünkü bunlarda şifreleme anahtarları bulunmuyor), güvenli mesajlaşma hizmetlerinin yasal olarak onaylanması durumunda belirli bir uyumluluk sorunuyla karşı karşıya kalacağı açıktır. göremedikleri içeriği anlamaları gerekir.
Bu nedenle AB’nin planını eleştirenler, yasanın E2EE mesajlaşma platformlarını, bir uyumluluk önlemi olarak istemci tarafı tarama gibi riskli teknolojileri uygulayarak sundukları amiral gemisi güvenlik korumalarının düzeyini düşürmeye zorlayacağı konusunda uyarıyor.
Komisyonun teklifinde, platformların CSAM tespiti için kullanması gereken belirli teknolojilerden bahsedilmiyor. Kararlar, yasanın oluşturacağı çocuklara yönelik cinsel istismarla mücadele için bir AB merkezine aktarılıyor. Ancak uzmanlar, bunun büyük olasılıkla istemci tarafı taramanın benimsenmesini zorlamak için kullanılacağını öngörüyor.
Diğer bir olasılık ise güçlü şifreleme uygulayan platformların hizmetlerini bölgeden tamamen çekmeyi tercih edebilmesidir; Örneğin Signal Messenger daha önce yasa gereği kullanıcı güvenliğini tehlikeye atmaya zorlanmak yerine piyasadan ayrılacağı konusunda uyarmıştı. Bu olasılık, AB’deki insanları, dijital iletişimi korumak için Signal veya Meta’ya ait WhatsApp veya Apple’ın iMessage’ı gibi altın standart E2EE güvenlik protokollerini kullanan ana akım uygulamalara erişimden mahrum bırakabilir.
Teklifin karşıtları, AB’nin hazırladığı tedbirlerin hiçbirinin çocuk istismarını önleme yönünde amaçlanan etkiye sahip olmayacağını ileri sürüyor. Bunun yerine tahmin ettikleri etki, milyonlarca Avrupalının özel iletişimlerinin kusurlu tarama algoritmalarına maruz kalması nedeniyle uygulama kullanıcıları için korkunç zincirleme sonuçlar olacaktır.
Bunun da çok sayıda yanlış pozitifin tetiklenmesi riskini doğurduğunu ileri sürüyorlar; Milyonlarca masum insan hatalı bir şekilde şüpheli faaliyetlere dahil edilebilir ve kolluk kuvvetlerine bir dizi sahte rapor yükü yüklenebilir.
AB’nin önerisinin öngördüğü sistemin, vatandaşların özel mesajlarını, platformların tespit sistemleri tarafından kendilerine gönderilen şüpheli içerik raporlarının kontrol edilmesinde yer alacak üçüncü taraflara rutin olarak ifşa etmesi gerekecek. Dolayısıyla, işaretlenen içeriğin belirli bir parçası, soruşturma için kolluk kuvvetlerine iletilmemiş olsa bile, raporlama zincirinin daha önceki bir noktasında şüpheli olmadığı tespit edilmişse, yine de zorunlu olarak başka biri tarafından incelenmiş olacaktır. gönderenden ve amaçlanan alıcı/alıcılarından daha fazla. Yani RIP, iletişim gizliliği.
Diğer platformlardan sızdırılan kişisel iletişimlerin güvenliğinin sağlanması, içerik raporlarının işlenmesinde yer alan üçüncü taraflardan herhangi birinin zayıf güvenlik uygulamaları uygulaması durumunda, rapor edilen içeriğin daha da açığa çıkması riskiyle birlikte devam eden bir güvenlik sorunu da oluşturacaktır.
İnsanların E2EE’yi kullanmalarının bir nedeni var ve verilerinize dokunan bir grup aracının olmaması tam da burada.
Bu korkunç plan şimdi nerede?
Tipik olarak, AB’de yasa yapımı üç yönlü bir olaydır; Komisyon yasa teklifinde bulunur ve onun Avrupa Parlamentosu ve Konseyi’ndeki yasa koyucuları, hepsinin üzerinde anlaşabileceği bir uzlaşmaya varmak için bloğun yürütme organıyla birlikte çalışır.
Ancak çocuk istismarı düzenlemesi konusunda AB kurumları şu ana kadar teklife ilişkin çok farklı görüşlere sahip.
Bir yıl önce, Avrupa Parlamentosu’ndaki milletvekilleri Komisyon’un teklifinde büyük revizyonlar önererek müzakere tutumlarını kabul ettiler. Siyasi yelpazenin her yerinden parlamenterler, E2EE platformlarının tarama gerekliliklerinden tamamen ayrılmasının desteklenmesi de dahil olmak üzere, hak risklerini azaltmayı amaçlayan önemli değişiklikleri destekledi.
Ayrıca, taramanın daha hedefe yönelik hale getirilmesi için sınırlandırılmasını da önerdiler: Taramanın yalnızca çocuğun cinsel istismarından şüphelenilen bireylerin veya grupların mesajları üzerinde yapılması gerektiğine dair bir şart eklenmesi – yani yasanın tüm çocuklara genel tarama dayatması yerine. Bir platforma bir algılama emri sunulduğunda kullanıcılara.
Avrupa Parlamentosu üyelerinin desteklediği başka bir değişiklik, algılamayı bilinen ve bilinmeyen CSAM ile sınırlandıracak ve platformların metin tabanlı alışverişleri tarayarak bakım faaliyetlerini de alma zorunluluğunu ortadan kaldıracak.
Teklifin parlamento versiyonu aynı zamanda, reşit olmayanların yırtıcı yetişkinler tarafından keşfedilme riskini azaltmak için profilleri varsayılan olarak halka açık olmayan olarak ayarlayarak kullanıcı gizliliği korumalarını iyileştirmeye yönelik platformlara ilişkin gereklilikler gibi diğer önlemlerin de dahil edilmesi yönünde baskı yaptı.
Genel olarak, Avrupa Parlamentosu üyelerinin yaklaşımı Komisyon’un orijinal teklifinden çok daha dengeli görünüyor. Ancak o tarihten bu yana AB seçimleri parlamentonun yapısını değiştirdi. Yeni milletvekillerinin alımına ilişkin görüşler daha az açıktır.
Üye devletlerin hükümetlerinin temsilcilerinden oluşan Avrupa Konseyi’nin ne yapacağı da hâlâ soru işareti. Henüz dosya üzerinde müzakere yetkisi üzerinde anlaşmaya varılamadığı için parlamentoyla müzakereler başlayamadı.
Gizliliği tercih eden herkes, yalnızca metin ve sesten oluşan basit aptal telefon tarzı özelliklere indirgenecek. Evet, bölgesel kanun koyucuların düşündüğü de bu.
Konsey geçen yıl Avrupa Parlamentosu üyelerinin uzlaşmalarına uyum sağlama yönündeki çağrılarını görmezden geldi. Bunun yerine üye devletler, Komisyon’un orijinal “her şeyi tara” yaklaşımına çok daha yakın bir pozisyonu tercih ediyor gibi görünüyor. Ancak üye ülkeler arasında nasıl ilerleneceği konusunda da görüş ayrılıkları var. Ve şu ana kadar yeterli sayıda ülke, bir yetki üzerinde anlaşmaya varmak için Konsey başkanlığı tarafından kendilerine sunulan uzlaşma metinlerine itiraz etti.
Konsey tartışmaları sırasında sızdırılan teklifler, üye devletlerin hükümetlerinin hâlâ içeriği kapsamlı tarama yeteneğini korumaya çalıştıklarını gösteriyor. Ancak Mayıs 2024 tarihli bir uzlaşma metni, bunun sunulma şeklini değiştirmeye çalıştı; mesajlaşma platformlarındaki yasal gerekliliği üstü kapalı bir şekilde “yükleme denetimi” olarak tanımladı.
Bu durum, AB milletvekillerini yurttaş iletişimlerinin toplu olarak taranmasına destek sağlamak amacıyla “retorik oyunlara” dalmakla suçlayan Signal başkanı Meredith Whittaker’ın kamu müdahalesini tetikledi. Bu, saçma sapan bir tonla “şifrelemeyi temelden zayıflatacağı” konusunda uyardı.
O dönemde basına sızdırılan metin de bildirildiğine göre mesajlaşma uygulaması kullanıcılarından içeriklerinin taranması için onaylarının istenebileceğini önerdi. Ancak taramayı kabul etmeyen kullanıcılar, uygulamalarının temel özelliklerini devre dışı bırakacak, bu da resim veya URL gönderemeyecekleri anlamına geliyor.
Bu senaryoya göre, AB’deki mesajlaşma uygulaması kullanıcıları esas olarak gizliliklerini korumak veya modern bir mesajlaşma uygulaması deneyimine sahip olmak arasında seçim yapmak zorunda kalacak. Gizliliği tercih eden herkes, yalnızca metin ve sesten oluşan basit bir aptal telefon tarzı özellik setine indirgenecek. Evet, bölgesel kanun koyucuların düşündüğü de bu.
Son zamanlarda, vatandaşların mesajlarının kitlesel olarak izlenmesi için Konsey içinde desteğin azalabileceğine dair işaretler var. Bu ayın başlarında Netzpolitik, Hollanda hükümetinin bir duyurusunu ele aldı başka bir ince ayarlı uzlaşmadan kaçınacağını söyleyerekE2EE’ye yönelik sonuçların yanı sıra istemci tarafı taramanın yol açtığı güvenlik risklerine ilişkin endişelere atıfta bulundu.
Bu ayın başlarında yönetmeliğe ilişkin tartışmalar da yapıldı. başka bir Konsey gündeminden çekildiNitelikli çoğunluğun sağlanamamasından kaynaklandığı anlaşılıyor.
Ancak Komisyon’un genel mesaj taramasına yönelik baskısını desteklemeye devam eden çok sayıda AB ülkesi var. Ve mevcut Macaristan Konseyi başkanlığı da bir uzlaşma bulmaya kararlı görünüyor. Yani risk ortadan kalkmadı.
Üye ülkeler hâlâ, Avrupa Parlamentosu üyeleriyle görüşmelere kapıyı açacak kadar hükümetlerini tatmin edecek bir teklif versiyonuna ulaşabilirler; bu, AB’nin kapalı kapılar ardındaki üçlü tartışma sürecinde her şeyi ele geçirebilir. Dolayısıyla Avrupa vatandaşlarının haklarına ve bloğun mahremiyet savunucusu olarak itibarına ilişkin riskler hâlâ yüksek.