欧盟执委会(European Commission)
欧盟一项打击儿童性剥削的新法案要求讯息服务App加装监控用户内容的技术,引发隐私人士反对,Signal示警,若此法案成为法律,Signal可能终止在欧盟市场的业务。
欧洲议会于2022年提出《儿童性虐待法规》(Regulation on Child Sexual Abuse,CSA),旨在打击儿童性剥削、儿童色情的网路内容传布。CSA当中条款要求提供私人通讯服务业者,应在其软体中安装名为「上传仲裁(upload moderation)」的技术,以侦测用户讯息中是否散布已知或新的儿童色情内容,包括提供全程加密的通讯服务。这项法规并要求,供应商必须清楚告知用户其服务内含这类监控技术,如果用户不同意,就无法使用其服务分享图片或URL。
这规定和欧盟确保用户隐私及安全的一贯原则似乎抵触。欧盟理事会上个月给执法机关的文件中,还强调全程加密服务业者仍可持续提供服务,不应视「上传仲裁」的规定为禁止、关闭全程加密的行政要求,因为新规定要求业者使用经过主管机关同意的监控技术,且需小心此类技术可能的网路安全风险。
新法案引发隐私业者反弹。全程加密服务供应商Signal执行长Meredith Wittaker本周稍早回应欧盟理事会说法指出,「上传仲裁」只是新名词,骨子里仍然是扫瞄监控。她说大规模扫瞄私密通讯的规定将根本颠覆加密。不论其手法是破坏加密演算法随机数字的产生、或实作金钥托管系统、或是迫使通讯流量在加密前通过监控系统,不论技术是叫后门、前门或上传仲裁。对该公司而言,都是可为骇客或国家滥用以监听用户的漏洞。她说,一旦CSA变成法律,Signal服务将被迫离开欧洲市场。
CSA已在去年11月在欧洲议会完成一读,今年4月欧盟理事会及欧盟议会同意延长打击线上儿童性剥削措施到2026年4月。
上个月包括Signal、Mozilla、VPN业者Proton、Surfshark及多个隐私倡议团体也联署,要求欧盟理事会成员的各国部长拒绝使用危害用户安全及上网权利的侵害技术。