Článek
Návrh nařízení Evropské unie 2022/0155, obecně nazývaný CSA regulation (CSAR), v češtině plným oficiálním zněním „NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY, kterým se stanoví pravidla pro předcházení pohlavnímu zneužívání dětí a boj proti němu“, neboli neoficiálně a kriticky „Chat control 2.0“, míří brzy do parlamentu EU k hlasování.
Nikdo nepopíráme, že boj s kriminalitou je nutností, obzvláště u odsouzeníhodných zločinů na dětech. Co vše jsme ale ochotni obětovat, abychom zvýšili bezpečnost dětí na internetu? A je záměr tak čistý a jednoznačný?
Jaká je podstata problému a jaký je jeho vývoj?
V roce 2021 bylo schváleno Nařízení Evropského parlamentu a Rady EU 2021/1232 na ochranu dětí, které již tehdy nebylo přijato bez obav ohledně soukromí. Cílem této legislativy byla detekce, hlášení a odstranění materiálů obsahujících dětské sexuální zneužívání (CSAM) na platformách jako jsou sociální sítě, cloudové služby a e-mailové platformy, nebo komunikační chatovací služby. Nařízení mělo mít dočasnou výjimku z ustanovení směrnice 2002/58/EC (naposledy prodlouženo 11. dubna 2024 do 3. 4. 2026), která běžně poskytuje evropskému uživateli určitou úroveň ochrany soukromí v elektronických komunikacích. Vše se točilo kolem spolupráce poskytovatelů služeb a státních orgánů, na bázi dobrovolnosti. Nevýhodou byl nejednotný přístup společností. Zejména velké platformy některé funkce implementovaly bez větších stížností.
Toto nařízení však Evropské unii nepřišlo jako dostatečné. Proto už o rok později vznikl další, rozšiřující návrh – Nařízení 2022/0155, které je předmětem tohoto článku. Ten na rozdíl od předchozího nařízení 2021/1232 ukládá povinný právní rámec pro detekci a prevenci online sexuálního zneužívání dětí a důraz na dočasnost něm již zmiňován není, tudíž by mělo jít o permanentní řešení. Tento návrh není žádnou novinkou, nicméně důvod, proč nebyl již schválen, je jeho prozatimní odpor na politické scéně.
Od vzniku návrhu se dá nicméně pozorovat nadstandardní nátlak Evropské komise na prosazení tohoto nařízení. Po počátečním odporu ze strany politiků, veřejnosti i organizací bojujících za lidská práva bylo nařízení opakovaně revidováno, konzultováno s Evropským parlamentem, se snahou získat větší podporu. Nicméně nikdy se nesetkal s významnou pozitivní odezvou. Tento proces ovšem stále pokračuje. Poslední vážný pokus o prosazení proběhl v roce 2024 (a opět kvůli odporu stažen). Tím se dostáváme k aktuálnímu pokusu o hlasování, jehož termín je aktuálně stanoven na 14. října 2025. Zvýšený tlak na prosazení je nyní dodatečně způsoben předsednictvím Dánska od 1. července 2025 v radě EU, neboť Dánsko považuje schválení tohoto návrhu za jednu ze svých nejvýznamnějších priorit.
Proč lze považovat tento návrh kontroverzní a problematický?
Z důvodu ochrany dětí (jako podstatné vnímám zmínit, že z pohledu tohoto zákona se považuje dítě jakákoli nedospělá osoba, tzn. mladší 18 let) je plánováno narušit (lépe řečeno obejít) veškerou šifrovanou i nešifrovanou komunikaci, skenováním obsahu přímo na zařízení každého uživatele(tzv. client-side scanning) a to před jeho odesláním. Což je dokonce některými kritiky označováno za „funkční backdoor“ do šifrované komunikace (backdoor = zadní vrátka, umožňující nežádoucí, často tajné sledování komunikace). Přesná formulace této regulace není aktuálně zcela zřejmá, jelikož mnoho detailů se teprve bude ladit až po případném schválení ( což je v EU běžný postup). Na upřesnění konkrétního znění by měly pak například vliv připomínky jednotlivých členských států.
Jak by to mohlo vypadat?
Mezi skenovaný obsah má v případě, že bude schválena nejpřísnější varianta – veškeré soukromé textové a hlasové zprávy, emaily, fotografie a videa, odkazy. Účel skenování má být hledání materiálů zobrazující sexuální zneužívání dětí, dětskou pornografii, grooming (navazování kontaktu dospělé osoby s dítětem za účelem získání intimních materiálů, nebo zneužití). Skenování má být prováděno umělou inteligencí a zakomponované v každé aplikaci umožňující online komunikaci nebo pracující s digitálním mediálním obsahem (komunikační aplikace a služby, sociální sítě, emailové služby, cloudové úložiště fotografií a videí nebo dokonce herní platformy a seznamovací aplikace – pokud obsahují chatovací funkci). Není explicitně vyloučeno, že mezi skenovaný a problémový obsah nebude patřit i fiktivní, deepfake nebo animovaný obsah. Fiktivní dětský obsah byl tématem úprav a debaty, přesto kritici považují aktuální formulaci za příliš vágní. Stejně tak ještě není například jisté, zda bude probíhat i kontrola textového či hlasového obsahu. Člověk má mít možnost skenování odmítnout, čímž by se měl nicméně kompletně ochudit o možnost odesílat mediální obsah (foto, video) nebo odkazy. Zřejmě není ještě vyřešeno, jak by potenciální odmítnutí tohoto skenování zařízení mělo fungovat za předpokladu, že by se měl skenovat i potenciální grooming.
Kontrolovaný obsah můžeme rozdělit takto:
Známý vizuální obsah - materiály oficiálně identifikované jako dětské sexuální zneužívání. Obsah zařízení uživatele bude porovnávány s existující databází dětského sexuálního obsahu (pravděpodobně pomocí jejich hashů – hash je jedinečný kód, vytvořený z obsahu obrázku, který slouží k jeho identifikaci).
Neznámý vizuální obsah – analýza obsahu na zařízení čistě pomocí umělé inteligence ve snaze nalézt neznámý, potenciálně nevhodný obsah, pravděpodobně za spolupráce americké společnosti Thorn. Dá se očekávat vysoká chybovost (false-positives). Tzn. problematické z pohledu soukromí uživatele – obsah bude přezkoumáván lidmi.
Textový a hlasový obsah – z důvodu prevence groomingu, má být analyzována veškerá komunikace uživatele, včetně například odkazů. Tato analýza je nicméně méně pravděpodobná.
Potenciálně nezákonná komunikace, nebo multimediální obsah, by se měl odesílat na specializovaný server Evropského centra pro boj proti zneužívání dětí (EUCSA – European Centre to Combat Child Sexual Abuse). Zřízení organizace je podmíněno schválením tohoto opatření. Po analýze takového obsahu a jeho případném vyhodnocení jako závadný, by data měly končit u policie jednotlivých států, případně Europolu, u kterého se počítá s úzkou spoluprací.
Další potenciálně kontroverzní souvislosti:
1) Thorn
Analýzu neznámého obsahu by měla technicky zajišťovat americká nezisková organizace Thorn (Thorn: Digital Defenders of Children), zaměřující se na boj se zneužíváním dětí softwarovou analýzou obsahu. V Evropské unii lobuje za prosazení této regulace. Úspěšně se této společnosti podařilo získat vliv a je často využívána jako technický expert a konzultant ohledně plánovaného nařízení. Naopak organizace hájící soukromí byly i přes vysokou snahu se angažovat v návrhu víceméně ignorovány, což vyvolalo znatelnou míru nevole.
Kritika padla také na přechod Cathala Delaneyho ke Thornu, původně vysoce postaveného úředníka Europolu, který vedl oddělení pro AI a pilotní projekty v oblasti detekce materiálů se sexuálním zneužíváním dětí. V nové roli pak taktéž loboval za produkty organizace. Tato praktika se nesetkala s pozitivní odezvou ani u ombudsmana EU (nezávislý úřad, který vyšetřuje nesprávné úřední postupy či netransparentnost), který zahájil vyšetřování s výsledkem, že střet zájmů je reálný a proces přestupu Delaneyho nemá dostatečnou transparentnost. Závěry Ombudsmana EU nicméně nejsou právně závazné.
Mezi kontroverzní společnost spolupracující s Thornem a s vysokou pravděpodobností společnost, která reálně stojí za softwarovým řešením velmi pokročilé analýzy masového obsahu pomocí AI, je u veřejnosti zatím ne tolik známý, americký Palantir (Palantir Technologies Inc.). Jedná se o společnost, mezi jejíž největší klienty patří policie, vlády a tajné služby. Mimo to pak nabízí služby i komerčnímu sektoru. Souvislost s Thornem je důvěryhodnými zdroji zmíněna, nicméně na detaily jsou nadstandardně skoupé. Dále Thorn také spolupracuje s několika desítkami společností, včetně těch největších jako Google (Alphabet), Microsoft, Facebook (Meta) a další. V tomto případě se dá ale spíše očekávat, že slouží jako zdroje dat.
2) Potenciální návaznost na strategii pro vnitřní bezpečnost neboli ProtectEU
Strategie ProtectEU je relativně nový projekt (představeno 1. dubna 2025), který má za cíl definovat rámec pro bezpečnost Evropské unie. Cílem mají být tyto primární body:
- Předvídání bezpečnostních hrozeb pomocí nových způsobů sdílení zpravodajských informací
- Účinnější nástroje pro orgány činné v trestním řízení a silnější agentury v oblasti spravedlnosti a vnitřních věcí.
- Budování odolnosti proti hybridním hrozbám
- Boj proti závažné a organizované trestné činnosti, boj proti terorismu a násilnému extremismu
Problematika tohoto projektu je obsáhlá a je spíše na samostatný článek. Velmi stručně se zaměříme na potenciální souvislost. Součástí plánu má být možnost narušit šifrovanou komunikaci, stanovením povinnosti poskytovatelům komunikačních služeb zpřístupnit tento obsah. V praxi to potom znamená jediné: snaha získat přístup k uživatelským datům a obsahu komunikace z důvodu potírání kriminality ze strany EU je reálná. Pokud by již existovalo implementované technické řešení, které umožňuje prozkoumávat uživatelský obsah na zařízení, je už velmi jednoduché rozšířit možnosti kontrolovaného obsahu i o to.
Odpůrci a aktuální stav
Chat control se střetává s velkou dávkou nevole ze strany organizací hájících uživatelská práva, dotčených poskytovatelů služeb i části evropské politické scény. Mezi nejznámější nekomerční odpůrce patří respektovaná organizace pro lidská práva EDRi (European Digital Rights), ale také spousty dalších. Z komerčního sektoru se vymezil například Signal Foundation, provozující chatovací aplikaci Signal, Mullvad (VPN služby), Threema (další komunikační aplikace), Tutanoa (soukromý emailový klient), Proton (služby zaměřené na soukromí), často formou otevřených dopisů. Nicméně i odpor z této strany je masivní, a výčet odpůrců z řad firem není zdaleka kompletní. Z politických odpůrců byl nejvýznamějším a nejhlasitějším kritikem německý europoslanec Patrick Breyer, který svou funkci v Evropském parlamentu ukončil v červnu minulého roku.
Závěrem bych dodal, že v souvislosti s aktuálními informacemi v době vydání článku se dá předpokládat, že návrh v aktuálním hlasování spíše neprojde. V posledních dnech je také patrná obrovská medializace s negativní konotací, která má zřejmě vliv i na veřejná prohlášení politických představitelů. Taktéž europoslanci zaznamenali enormní zájem veřejnosti, například Markéta Gregorová tvrdí, že ohledně Chat control dostali tisíce e-mailů.
Zdroje:
nařízení EU 2022/0155 češtině: https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:52022PC0209
nařízení EU 2021/1232: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021R1232
Hlasování v roce 2024 zrušeno: https://stackdiary.com/eu-council-has-withdrawn-the-vote-on-chat-control/
Dánsko priority: https://danish-presidency.consilium.europa.eu/media/xv5jn5nx/programme-of-the-danish-eu-presidency-2025.pdf
grooming, kategorie sledování, spolupráce s Thorn a další: https://edri.org/our-work/private-and-secure-communications-put-at-risk-by-european-commissions-latest-proposal/
Zpráva ombudsmana EU: https://www.ombudsman.europa.eu/en/solution/en/188985
Thorns a Palantir, spolupráce, lobing:
https://en.m.wikipedia.org/wiki/Thorn_(organization)
https://www.globenewswire.com/news-release/2016/09/28/875149/0/en/Cloudera-Broadens-its-Collaboration-with-Thorn-to-Include-Software-and-Services-to-Fight-Child-Sexual-Exploitation.html
https://www.singlestore.com/media-hub/releases/machine-learning-image-recognition-thorn
https://www.patrick-breyer.de/en/chat-control-eu-ombudsman-criticises-revolving-door-between-europol-and-chat-control-tech-lobbyist-thorn/
protectEU:
https://ec.europa.eu/commission/presscorner/detail/en/ip_25_920
https://www.linkedin.com/posts/aurasalla_csam-protecteu-cybersecurity-activity-7313077452950450176-RNnl
https://www.root.cz/zpravicky/otevreny-dopis-proti-planu-protecteu/
Stanoviska odpůrců:
EDRi: https://edri.org/tag/chat-control/
Signal foundation: https://signal.org/blog/pdfs/upload-moderation.pdf
Threema: https://threema.com/en/blog/stop-chat-control
Tutanoa (Tuta): https://tuta.com/blog/chat-control-criticism
Mullvad: https://mullvad.net/en/chatcontrol
Proton: https://proton.me/blog/eu-chat-control
Patrick Breyer: https://www.patrick-breyer.de/en/posts/chat-control/
Markéta Gregorová: https://radiozurnal.rozhlas.cz/chat-control-predstavuje-riziko-pro-nase-svobody-plosne-smirovani-konverzaci-9542680
