Londýn se stal epicentrem globální bitvy o budoucnost digitálního soukromí. S přijetím zákona Online Safety Act 2023 (OSA) a nedávnými návrhy na revizi zákona Investigatory Powers Act (IPA) — svými kritiky nazývaného „Charta špionů“ —, si britská vláda nárokuje právo ukládat povinnosti sledování přímo v jádru soukromé komunikace. Zlomovým bodem je pravomoc udělená regulátorovi OFCOM požadovat, aby platformy nasadily „akreditovanou technologii“ k detekci materiálů pohlavního zneužívání dětí (CSEA) nebo terorismu, a to i v rámci end-to-end šifrované komunikaci.
Pro velké digitální platformy je poselství Westminsteru jednoznačné: buď usnadní státní přístup ke své infrastruktuře, nebo jim hrozí pokuty až do výše 10 % jejich celosvětových příjmů. Reakce byla okamžitá: služby jako Signal a WhatsApp veřejně pohrozily stažením z britského trhu a odmítly ohrozit bezpečnost svých uživatelů, aby uspokojily jedinou jurisdikci. Technický argument je těžko zpochybnitelný: neexistuje žádný hlavní klíč (master key) vyhrazený pouze pro legitimní aktéry. Otevřené dveře pro orgány činné v trestním řízení jsou z podstaty věci otevřenými dveřmi pro kyberzločince a zahraniční zpravodajské služby.
Obchodní model velkých platforem: strukturální překážka pro Zero-Knowledge
Odpor velkých platforem vůči přijetí šifrování Zero-Knowledge není vysvětlen technickou neschopností, ale základní ekonomickou neslučitelností. Společnosti jako Alphabet a Meta spoléhají na modely zpeněžení založené na systematickém shromažďování údajů o chování. Tento model mimochodem implicitně uznává zákon Evropské unie o digitálních trzích (DMA), který tyto „strážce“ (gatekeepers) klasifikuje jako subjekty, jejichž dominantní postavení je přesně živeno akumulací dat v bezkonkurenčním měřítku. Pro tyto aktéry by přijetí architektury Zero-Knowledge znamenalo připravit jejich reklamní systémy o nepřetržitou identifikaci uživatelů, která je jejich palivem. Nejde tedy o technickou volbu, ale o kompromis mezi soukromím uživatelů a životaschopností jejich obchodního modelu.
Strategické riziko: hrozba „Harvest Now, Decrypt Later“
Kromě debaty o soukromí vyvolává oslabení šifrování otázku národní bezpečnosti zcela jiného rozsahu. Strategie známá jako Harvest Now, Decrypt Later (HNDL) spočívá v tom, že státní protivníci dnes zachycují a ukládají obrovské objemy šifrované komunikace v očekávání budoucích schopností kvantového dešifrování. Oslabováním současných standardů šifrování britský legislativní rámec objektivně usnadňuje tento typ operací proti vládní, diplomatické nebo průmyslové komunikaci.
Právě v tomto kontextu deficitu důvěry získávají ekosystémy, jako je ten od Arpokratu, provozní relevanci. Tím, že Arpokrat funguje v režimu švýcarského federálního zákona o ochraně osobních údajů (FADP), s architekturou, která neshromažďuje žádné občanské identifikátory, nabízí technický rozchod s infrastrukturami podléhajícími britské jurisdikci — což zaručuje, že systém zůstane neslyšící vůči příkazům předpokládaným zákonem OSA.
Střet norem: OSA a IPA proti evropskému právu
Právní analýza nových výsad britského státu odhaluje přímý střet se základy evropského práva týkajícího se ochrany osobních údajů a důvěrnosti komunikace.
OSA proti zákazu plošného sledování
Článek 121 OSA zavádí možnost pro OFCOM vydávat příkazy nutící platformy zavést skenování na straně klienta (client-side scanning). Toto opatření je v přímém rozporu s principem, odvozeným z evropského práva a zahrnutým v judikatuře SDEU (Soudní dvůr EU), který zakazuje plošné povinnosti sledování. Vynucením „zranitelnosti od návrhu“ (vulnerability by design) také staví společnosti do situace dvojí vazby: oslabením své bezpečnosti v zájmu splnění státního mandátu nedodržují svou povinnost zaručit úroveň bezpečnosti odpovídající zpracování, jak je zakotveno v článku 32 GDPR.
Směrnice ePrivacy a důvěrnost komunikace
Skenování soukromých zpráv je v přímém rozporu s čl. 5 odst. 1 směrnice 2002/58/ES (ePrivacy), který zavazuje členské státy zaručit důvěrnost elektronických komunikací a zakazuje jakoukoli formu odposlechu nebo sledování bez výslovného souhlasu dotčených uživatelů.
Technical Capability Notices a blokování bezpečnostních aktualizací
V rámci režimu IPA 2016 má britská vláda nyní v úmyslu používat Technical Capability Notices (TCN) k zablokování bezpečnostních aktualizací před jejich nasazením. Tento mechanismus vytváří neřešitelný konflikt s povinností, stanovenou článkem 32 GDPR, zajistit nepřetržitou bezpečnost systémů zpracování — povinností, která přesně vyžaduje schopnost aplikovat záplaty bez zpoždění nebo vnějších zásahů.
Rizika shody pro společnosti působící v Evropě
Cílem revizí IPA je přinutit společnosti, aby informovaly britskou vládu o jakékoli technické úpravě ovlivňující bezpečnost před její implementací, čímž jí udělují právo veta nad vývojem produktů. Toto vměšování vytváří značnou právní nejistotu pro dodavatele působící na evropském trhu: britská přiměřenost k evropskému právu — již tak křehká — by mohla být zpochybněna, pokud Spojené království již nebude zaručovat ochranu podstatně rovnocennou s ochranou GDPR. Předávání údajů do Spojeného království v tomto novém rámci by tak pravděpodobně vystavilo společnosti sankcím podle GDPR.
Obrana technickou nemožností: princip Zero-Knowledge jako právní štít
Mezinárodní judikatura, upevněná rozsudky Schrems I a Schrems II SDEU, stanovila určující princip: jedinou robustní pojistkou proti nepřiměřenému sledování je technická nemožnost přístupu k nim. Architektury Zero-Knowledge aplikují tento princip ve třech vrstvách ochrany:
- Absence úschovy: platforma nedrží dešifrovací klíče, jakýkoli příkaz ke skenování zpráv je technicky neproveditelný;
- Suverenita operačního systému: kontrola nad ArpokratOS eliminuje telemetrii, která živí shromažďování zpravodajských informací na úrovni zařízení;
- Švýcarské jurisdikční ukotvení: tím, že Arpokrat hostí svou infrastrukturu ve Švýcarsku, funguje v právním režimu vyžadujícím individualizované a odůvodněné žádosti o vzájemnou právní pomoc, čímž neutralizuje automatizované provádění hromadného skenování předpokládaného zákonem OSA.
Závěr
Ustanovení zákona OSA a revize zákona IPA nejsou jen hrozbou pro soukromí jednotlivců: představují narušení právní jistoty pro všechna evropská data procházející infrastrukturami podléhajícími britské jurisdikci. Tím, že Londýn legitimizuje oslabování šifrování ve jménu veřejné bezpečnosti, paradoxně vystavuje své spojence a obchodní partnery rizikům průmyslové a státní špionáže, kterým mají architektury Zero-Knowledge přesně zabránit.
Integrita profesionální a institucionální komunikace nyní vyžaduje strukturální reakci: migraci směrem k decentralizovaným ekosystémům zaručujícím digitální suverenitu, od úrovně kódu až po jurisdikční ukotvení.