Chatcontrole : De internetindustrie vraagt ​​om bescherming tegen encryptie

Encryptie en privacy IT-brancheverenigingen uit heel Europa uitten in twee brieven massale kritiek op chatcontroles. Het project is overhaast en brengt ieders privacy in gevaar. Ze nemen daarom een ​​duidelijk standpunt in over encryptie en scannen aan de clientzijde.

Kort voor de laatste onderhandelingen over chatcontrole (encryptie) in de komende weken hebben IT-verenigingen uit heel Europa hun enorme zorgen geuit. In twee open brieven aan het EU-voorzitterschap van de Raad, de EU-commissaris voor Binnenlandse Zaken en leden van het Parlement waarschuwen de organisaties voor het ondermijnen van encryptie en privacy. Ze eisen dat het wetgevingspakket de encryptie moet beschermen. In totaal ondertekenden 26 organisaties de brieven, waaronder de Duitse vereniging Eco en de Oostenrijkse aanbiedersvereniging ISPA.

In beide brieven wordt unaniem gewaarschuwd voor een overhaaste implementatie van de regeling ter voorkoming en bestrijding van seksueel misbruik van kinderen. De Raad van Ministers wil in september over zijn standpunt beslissen , de verantwoordelijke werkgroep strafrechtelijke vervolging komt op 20 september bijeen en het Europees Parlement zal de kwestie in oktober bespreken.

Scannen aan de clientzijde ondermijnt de privacy en veiligheid

De verenigingen maken zich vooral zorgen over encryptie en privacy. De brief van de overwegend Centraal- en Oost-Europese digitale verenigingen roept op tot erkenning van de “cruciale rol” die encryptietechnologieën, inclusief end-to-end-encryptie, spelen bij het garanderen van private en veilige communicatie voor gebruikers, inclusief kinderen.

Ook in de tweede brief , die vooral door West-Europese verenigingen is ondertekend, wordt het omzeilen van encryptie bekritiseerd. Scannen aan de clientzijde “zou de robuuste bescherming die end-to-end-encryptie biedt voor de privacy en veiligheid van mensen ernstig ondermijnen en de kans op ongegronde schendingen van de privacy vergroten.” IT-beveiligingsexperts hebben herhaaldelijk gewaarschuwd dat het verzwakken van welk onderdeel van een gecodeerd systeem dan ook compromittering zou betekenen de veiligheid van iedereen, waar dan ook.

Kritiek op automatische herkenning

Vanuit het oogpunt van de IT-verenigingen kunnen detectiemaatregelen slechts een laatste redmiddel zijn. Deze mogen alleen worden gebruikt als duidelijk is dat een aanbieder niet alle maatregelen heeft uitgeput. Daarnaast is voorzichtigheid geboden als het gaat om het identificeren van voorheen onbekende afbeeldingen van kindermisbruik en zogenaamde ‘grooming’.

Dit laatste betekent het initiëren van communicatie van volwassenen naar kinderen met de bedoeling tot misbruik. Het opsporen van deze twee dingen is “technisch en operationeel moeilijk” en “vereist de inzet van mensen en analyse van de communicatiecontext”, aldus de verenigingen.

Beide groepen verenigingen waarschuwen ook dat bestellingen beperkt moeten worden tot diensten die deze technisch kunnen implementeren. Bovendien lopen aanbieders van cloudinfrastructuur en appstores slechts een laag risico op misbruik. De term “hostingdienst” is momenteel te ruim gedefinieerd in de wetstekst.

Er is lof voor het Europees Parlement vanuit de Midden- en Oost-Europese verenigingen: de daar voorgestelde veranderingen zouden aanzienlijk beter uitvoerbare oplossingen betekenen en de innovatie niet vertragen. Het standpunt van het Europees Parlement is echter nog niet definitief. Voordat er in oktober gestemd wordt , moet de Binnenlandse Commissie (LIBE) eerst haar advies uitbrengen. Zodra de Raad en het Parlement hun standpunt hebben bepaald, zullen de trialoogonderhandelingen samen met de Europese Commissie beginnen.

Hier is de brief van de overwegend Midden- en Oost-Europese digitale verenigingen (“Gezamenlijke brief”), vrijgegeven uit de pdf :

• Datum: september 2023
• Aan: het Spaanse voorzitterschap van de Raad
• Aan: Europees commissaris voor Binnenlandse Zaken Ylva Johansson en DG HOME
• Aan: LEDEN
• Betreft: Gezamenlijke brief van spelers uit de Europese industrie

De Verordening Kindermisbruik moet evenwichtig, technologisch neutraal en toekomstbestendig zijn

Beste mevrouw / meneer,

De ondergetekende organisaties en hun leden zetten zich al geruime tijd in voor de bestrijding van online seksueel misbruik van kinderen (CSA) en delen volledig de doelstellingen van de Europese Commissie om deze misdaden te voorkomen en te bestrijden. Samenwerking tussen toezichthouders, technologiebedrijven, wetshandhavingsinstanties, overheden en het maatschappelijk middenveld is cruciaal in het proces – en dat geldt ook voor een solide juridisch kader dat effectief, evenwichtig, technologisch neutraal en toekomstbestendig is.

Wij zijn blij met de vooruitgang die tot nu toe in het Europees Parlement is geboekt. Wij zijn van mening dat deze verbeteringen de essentie van het voorstel behouden en tegelijkertijd meer haalbare opties bieden voor de industrie om op dit gebied te blijven innoveren en tegelijkertijd hun inspanningen verder op te schalen.

Hoewel we de inzet van het Spaanse voorzitterschap om tot een compromis te komen toejuichen, waarschuwen we, gezien de complexiteit van het voorstel, voor een overhaaste algemene aanpak in de EU-Raad, zonder de meest kritische aspecten van de wetgeving aan te pakken. In dit verband delen wij de zorgen van het Europees Comité voor gegevensbescherming en de Europese Toezichthouder voor gegevensbescherming over de impact van het voorstel op de grondrechten, met name op het gebied van de privacy en de bescherming van persoonsgegevens, naast het gebrek aan juridische duidelijkheid met betrekking tot tot detectie en verwijdering van bestellingen.

Om onze zorgen weg te nemen, stellen wij de volgende vijf punten voor die kunnen bijdragen aan het creëren van een gezond en proportioneel juridisch kader, met als uiteindelijk doel de samenleving ten goede te komen en kinderen veilig te houden:

1. Gezien de extreem hoge inzet is het van cruciaal belang om het juiste evenwicht te vinden tussen de bescherming van kinderen en privacy. Wij geloven dat het mogelijk is een dergelijk evenwicht te bereiken door de haalbaarheid van technologische oplossingen zorgvuldig te evalueren, innovatie op dit gebied te laten doorgaan en door brede juridische acties te vermijden die de fundamentele rechten zouden schenden. Elke technologie moet voortdurend in nauwe samenwerking met de industrie worden ontwikkeld en besproken.

De vereiste technische oplossingen moeten op technisch niveau implementeerbaar zijn zonder de digitale infrastructuur en netwerken te verstoren. Het voorstel moet de cruciale rol erkennen die encryptietechnologieën, waaronder end-to-end-encryptie, spelen bij het aanbieden van private en veilige communicatie voor gebruikers, inclusief kinderen. Sterke encryptie, inclusief end-to-end encryptie, beschermt de gevoelige gegevens van gebruikers, inclusief individuen, bedrijven en overheden.

Door van aanbieders te eisen dat zij kwetsbaarheden in producten en diensten inbouwen, zou de veiligheid en privacy van de gegevens van klanten worden ondermijnd. In gevallen waarin encryptie in de cloud wordt gebruikt, kan elk verzoek om de encryptie te verbreken ook de informatietechnologie-infrastructuur ondermijnen en klanten blootstellen aan gevoelige gegevens.

2. Zonder vrijwillige acties en een passende afwijking van de relevante bepalingen van de e-privacyrichtlijn zullen sommige diensten niet in staat zijn proactief naar illegale inhoud te zoeken. Aanbieders moeten mogelijk de detectie van online seksueel misbruik van kinderen bij bepaalde diensten stopzetten terwijl ze wachten op een detectiebevel, wat zou kunnen leiden tot een leemte in de online veiligheid van kinderen.

Wij stellen voor om een ​​duidelijke rechtsgrondslag en een langdurige afwijking van de e-privacyrichtlijn te bieden, zodat aanbieders van elektronische-communicatiediensten kunnen blijven innoveren en vrijwillige detectie-inspanningen kunnen leveren. Wij zijn van mening dat de huidige afwijking van de e-Privacyrichtlijn transparant, proportioneel en betrouwbaar is.

3. Het opsporen en verwijderen van orders moet een laatste redmiddel zijn. Ze moeten flexibel zijn, met passende waarborgen. De tekst moet verduidelijken dat diensten alle risicobeperkende maatregelen moeten uitputten voordat een bevel tot opsporing of schrapping van de notering kan worden uitgevaardigd. Daarom moeten de vrijwillige inspanningen worden voortgezet.

Bovendien is het onduidelijk hoe aanbieders aan deze verplichting kunnen voldoen zonder het verbod op algemene monitoringverplichtingen te schenden , aangezien menselijke beoordeling essentieel blijft en het opsporen van dit soort CSA niet volledig kan worden geautomatiseerd tot aan de handhavingsbesluitvorming. Wettelijke mandaten mogen alleen worden gebruikt als laatste redmiddel wanneer vrijwillige inspanningen en andere risicobeperkingen onvoldoende worden geacht, en dan alleen wanneer dergelijke bevelen het verbod op algemeen toezicht niet schenden.

4. Beperk de reikwijdte van opsporingsbevelen tot geschikte dienstverleners: de wetgeving moet zich richten op diensten die vanwege hun aard een hoog risico op misbruik met zich meebrengen. Softwareapplicatiewinkels, zoekmachines, nummergebaseerde interpersoonlijke communicatiediensten en aanbieders van cloudinfrastructuur zijn voorbeelden met een laag risico vanwege de aard van de dienst.

Op dezelfde manier zijn interpersoonlijke communicatiediensten en aanbieders van cloudinfrastructuur niet goed geplaatst om actie te ondernemen vanwege technische en contractuele beperkingen. hostingservice waarnaar het is geüpload.

5. De verordening moet worden afgestemd op andere EU-wetgeving om de fragmentatie van de digitale interne markt te voorkomen. De wetgeving moet voortbouwen op de onlangs aangenomen Digital Services Act (DSA) en de bijbehorende risicobeoordelingen. Regeringen moeten elke actie vermijden die van bedrijven eist dat zij beveiligingsproblemen in hun producten en diensten creëren, terwijl het verbod op algemene monitoring behouden blijft, en de wisselwerking tussen andere stukken wetgeving zorgvuldig in kaart brengen.

We zijn ons bewust van de grote inzet die deze wetgeving met zich meebrengt; het verwezenlijken van de doelstellingen van de wetgeving is van cruciaal belang voor alle belanghebbenden, en vooral voor kinderen. Wij zijn van mening dat onze voorgestelde oplossingen helpen bij het vinden van een dergelijk raamwerk.

We blijven ons inzetten voor de bestrijding van kindermisbruik online en helpen medewetgevers te komen tot krachtige wetgeving voor de lange termijn om kindermisbruik online op de meest effectieve, evenwichtige, technologisch neutrale en toekomstbestendige manier aan te pakken.

De Confederatie van Industrie van de Tsjechische Republiek, namens de ondergetekende organisaties.

• Adigitaal
• ASIC
• CCIA
• Digitaal Polen
• Deense ondernemers
• Confederatie van de Deense industrie
• Confederatie van Industrie van de Tsjechische Republiek
• IAB Polen
• Infobalt
• IN
• Leviathan
• LITKA
• IK WEET

Hier is de brief van de overwegend West-Europese digitale verenigingen (“Joint industry call”), gepubliceerd in de pdf :

De gezamenlijke industrie roept op tot het beschermen van encryptie en het beperken van opsporingsbevelen in de EU-verordening tot vaststelling van regels ter voorkoming en bestrijding van seksueel misbruik van kinderen

6 september 2023

De ondergetekende brancheverenigingen die technologiebedrijven vertegenwoordigen blijven zich sterk inzetten om de digitale ruimte voor iedereen veiliger te maken en in het bijzonder om kinderen online te beschermen. Wij staan ​​resoluut achter de overkoepelende doelstelling van de Europese Commissie om seksueel misbruik van kinderen te voorkomen en te bestrijden.

Daarom zijn wij van mening dat er bepaalde verbeteringen moeten worden aangebracht in het voorstel voor een EU-verordening tot vaststelling van regels ter voorkoming en bestrijding van seksueel misbruik van kinderen (CSA-verordening) om een ​​wetgevend kader te verwezenlijken dat de inspanningen van onze sector om kinderen te beschermen erkent en een kader dat de inspanningen van onze sector om kinderen te beschermen erkent en de vervolging van daders beter garandeert.

Daartoe roepen wij de beleidsmakers van de EU op om 1) het recht op privacy en vertrouwelijkheid van communicatie te verdedigen door middel van de specifieke bescherming van encryptie; 2) ervoor zorgen dat detectiebevelen een laatste redmiddel zijn ; en 3) detectiebevelen beperken tot degenen die in staat zijn om te handelen .

1. Beveilig gecodeerde communicatie
Encryptie (inclusief end-to-end-encryptie van gegevens) speelt een sleutelrol bij het aanbieden van private en veilige communicatie, inclusief die van minderjarigen (1).

Het belang van encryptietechnologieën, en end-to-end-encryptie in het bijzonder, bij het waarborgen van de veiligheid en vertrouwelijkheid van de communicatie van gebruikers wordt al erkend in de momenteel geldende EU-wetgeving (2) en mag niet worden ondermijnd door de CSA-verordening. Regeringen en overheidsinstanties willen terecht kinderen tegen schade beschermen, maar het verzwakken van de encryptie is de verkeerde aanpak en zou miljoenen EU-burgers het risico geven op hacking, fraude en identiteitsdiefstal.

Deze risico’s zijn benadrukt door veel actoren (3), die de aandacht hebben gevestigd op de privacy- en veiligheidsimplicaties van het scannen van de inhoud van gecodeerde communicatie om seksueel misbruik van kinderen op te sporen.

De voorgestelde verordening slaagt er niet in om end-to-end-gecodeerde diensten duidelijk uit te sluiten van de verplichting om de inhoud van berichten te scannen en zou aanbieders in plaats daarvan kunnen verplichten bepaalde potentieel invasieve technologische oplossingen in te zetten – zoals client-side scanning (CSS) – om detectieopdrachten uit te voeren.

Dit zou de robuuste bescherming die end-to-end-encryptie biedt aan de privacy en veiligheid van mensen ernstig ondermijnen, en de kans op ongerechtvaardigde inbreuken op de privacy vergroten. Cybersecurity-experts hebben herhaaldelijk gewaarschuwd dat het verzwakken van welk onderdeel dan ook van een gecodeerd systeem de veiligheid van iedereen, overal, zou verminderen (4).

Daarom moeten de medewetgevers van de EU ervoor zorgen dat de verplichtingen in de CSA-verordening evenredig zijn aan de bekende risico’s en elk verbod of elke verzwakking van encryptie expliciet uitsluiten, met inbegrip van toegang door derden tot communicatie en digitale gegevens die niet bedoeld zijn om worden geopend, gelezen of bewerkt.

Om de privacy van gebruikers te respecteren en de veiligheid van kinderen te garanderen, moeten gecodeerde diensten toestemming krijgen om seksueel misbruik van kinderen aan te pakken zonder toegang te krijgen tot de inhoud van berichten. Dit zou benaderingen moeten omvatten zoals productontwerp, de analyse van niet-gecodeerde oppervlakken en de verwerking van metagegevens.

2. Zorg ervoor dat verplichte opsporing doelgericht is en als laatste redmiddel wordt uitgevaardigd.
De CSA-verordening is een kans om voort te bouwen op bestaande inspanningen om seksueel misbruik van kinderen te bestrijden. Deze beproefde inspanningen omvatten onder meer de detectie met behulp van hoogwaardige databanken van bekend materiaal over seksueel misbruik van kinderen (CSAM), vrijwillige preventie- en detectiemaatregelen, evenals de ontwikkeling van nieuwe technologieën.

Deze instrumenten resulteren al in veel bruikbare rapporten aan de rechtshandhavingsinstanties en in de succesvolle vervolging van overtreders wereldwijd. Het is van het allergrootste belang dat bewezen effectieve maatregelen behouden blijven.

In deze context moet de CSA-verordening ervoor zorgen dat het uitvaardigen van opsporingsbevelen een laatste redmiddel blijft, dat alleen ten uitvoer kan worden gelegd nadat is vastgesteld dat de aanbieder er niet in is geslaagd alle redelijke en proportionele beperkende maatregelen te nemen om het risico aan te pakken dat zijn diensten potentieel worden misbruikt voor doel van online seksueel misbruik van kinderen. Deze aanpak zou de continuïteit met bestaande gerichte activiteiten garanderen en rechtshandhavingsautoriteiten ondersteunen bij het onderzoeken en vervolgen van strafbare feiten.

Het voorstel moet daarom ten eerste aanbieders in staat stellen proactieve vrijwillige acties te blijven ontplooien voor de preventie, opsporing en verwijdering van seksueel misbruik van kinderen als mitigatiemaatregel op grond van artikel 4, en ten tweede ervoor zorgen dat opsporingsbevelen pas worden geactiveerd zodra duidelijk is dat er sprake is van een bepaalde aanbieder is er niet in geslaagd de risico’s op passende wijze te beperken.

Verder moet voorzichtigheid worden betracht bij het opsporen van voorheen onbekende CSAM en het benaderen van kinderen (zogenaamde ‘grooming’), gezien de technische en operationele problemen bij het opsporen van dit soort inhoud, waarvoor menselijke bevestiging en beoordeling van contextuele communicatie vereist is ( 5).

Om deze aanpak te ondersteunen moet de CSA-verordening ook duidelijkheid bieden over de manier waarop aanbieders de opsporingsbevelen moeten implementeren, en tegelijkertijd in lijn blijven met het beginsel van geen algemene monitoring of actieve feitenonderzoeksverplichtingen, zoals onlangs herbevestigd in de Digital Services Act (
DSA ).

3. Beperk detectiebevelen tot aanbieders die actie kunnen ondernemen
In de CSA-verordening wordt gesproken over de term ‘hostingdienst’, die zeer breed is en een verscheidenheid aan dienstverleners omvat met verschillende technische en operationele capaciteiten. Bepaalde providers kunnen bijvoorbeeld cloudcomputingdiensten gebruiken om inhoud op te slaan die door hun gebruikers is geüpload.

In dit geval zouden zowel de dienstverlener als de cloudhosting op grond van deze verordening in aanmerking komen als ‘hostingdiensten’, ook al hebben cloudaanbieders geen volledig zicht op de inhoud van gebruikers en zijn ze niet in staat detectiebevelen toe te passen op een manier die evenredig is en de privacy waarborgt. .

Als aanbieders zoals cloud computing-diensten verplicht worden om online seksueel misbruik van kinderen op te sporen, zou dat blijk geven van minachting voor hun mogelijkheden en de vertrouwelijkheid van de gegevens van hun klanten, waaronder bedrijven en overheidsorganisaties, kunnen verstoren.

De medewetgevers moeten in de CSA-verordening een bewoording opnemen waarin wordt verduidelijkt dat opsporingsbevelen alleen mogen worden uitgevaardigd aan downstreamaanbieders die over de technische en operationele capaciteit beschikken om op te treden, teneinde mogelijke negatieve effecten op de beschikbaarheid en toegankelijkheid van informatie te voorkomen en tot een minimum te beperken, in in lijn met overweging 27 van de DSA.

Conclusies
Wij, de hieronder genoemde ondertekenaars, staan ​​volledig achter de doelstelling van het voorstel om seksueel misbruik van kinderen te bestrijden en om de bestaande inspanningen en de voortdurende samenwerking tussen de nationale autoriteiten te versterken. De nieuwe regels moeten proportioneel zijn en de privacy van de communicatie beschermen, terwijl ze toch innovatie mogelijk maken in de strijd tegen seksueel misbruik van kinderen in de EU en daarbuiten.

Om dit te bereiken moeten wetgevers ervoor zorgen dat het voorstel specifiek gecodeerde communicatie beschermt en dat detectiebevelen de laatste stap van het proces zijn, gericht op de aanbieders met de technische en operationele capaciteit om op te treden.

Hoewel tijd van essentieel belang is, mag de CSA-verordening niet overhaast worden zonder zorgvuldig evenwichtige en toekomstbestendige oplossingen te overwegen om de beoogde doelen te bereiken. Alleen op deze manier kan een robuust wetgevingskader tot stand worden gebracht dat de tand des tijds kan doorstaan.

De ondergetekende verenigingen willen graag blijven samenwerken met beleidsmakers en andere relevante belanghebbenden om de lopende en toekomstige inspanningen ter bestrijding van seksueel misbruik van kinderen online veilig te stellen en tegelijkertijd het fundamentele recht op privacy van EU-burgers te waarborgen.

Ondertekenaars (in alfabetische volgorde):

• AFNUM (Alliance Française des Industries du Numérique) – Geregistreerd in Frankrijk onder 438608630 (HATVP)
• CISPE.cloud (aanbieders van cloudinfrastructuurdiensten in Europa) – 041495920038-44
• Computer- en communicatie-industrievereniging (CCIA Europa) – 15987896534-82
• CZ.NIC (Czech Internet Association) – Geregistreerd in Tsjechië onder 67985726
• Ontwikkelaarsalliantie – 135037514504-30
• DOT Europa – 53905947933-43
• Eco (Vereniging van de internetindustrie) – 483354220663-40
• EuroISPA (European Internet Services Providers Association) – 54437813115-56
• FiCom (Finse Federatie voor Communicatie en Tele-informatica) – 29762326480-22
• Freedom Internet – Geregistreerd in Nederland onder 74768573
• i2Coalition (coalitie voor internetinfrastructuur) – 722865639438-43
• ISPA Oostenrijk (internetproviders Oostenrijk) – 56028372438-43
• ITI (Information Technology Industry Council) – 061601915428-87

(1) Zoals vermeld in het Witboek van UNICEF over encryptie, privacy en het recht van kinderen op bescherming tegen schade: “Encryptie is ook van cruciaal belang om de veiligheid van kinderen te garanderen. Hun digitale apparaten en communicatie bevatten persoonlijke informatie die zowel hun privacy als hun veiligheid in gevaar zou kunnen brengen als deze in verkeerde handen zou vallen.”

(2) Inclusief in Verordening (EU) 2021/1232 (tussenverordening betreffende een tijdelijke afwijking van de e-privacyrichtlijn ter bestrijding van online seksueel misbruik van kinderen), in Richtlijn (EU) 2022/2555 (NIS 2-richtlijn) en in Verordening (EU) 2023/1543 (e-bewijs).

(3) Gezamenlijk advies nr. 04/2022 van het Europees Comité voor gegevensbescherming en de Europese Toezichthouder voor gegevensbescherming
en open brief van academici en onderzoekers over de CSA-regelgeving.

(4) Papier ‘Bugs in onze zakken: de risico’s van scannen aan de clientzijde ‘; Paper ‘Sleutels onder deurmatten: onzekerheid verplichten door toegang van de overheid tot alle gegevens en communicatie te eisen’ ; Verslag van de speciale rapporteur voor de bevordering en bescherming van het recht op vrijheid van mening en meningsuiting ; Electronic Frontier Foundation legt uit ‘Waarom het toevoegen van scannen aan de clientzijde de end-to-end-encryptie verbreekt’ ; en Internet Society-factsheet ‘Client-Side Scanning’ .

(5) Zoals benadrukt in de aanvullende effectbeoordeling door de Onderzoeksdienst van het Europees Parlement.