لندن به کانون نبردی جهانی برای آینده حریم خصوصی دیجیتال تبدیل شده است. با تصویب قانون ایمنی آنلاین ۲۰۲۳ (OSA) و پیشنهادهای اخیر برای بازنگری در قانون اختیارات تحقیقاتی (IPA) — که توسط منتقدانش «منشور جاسوسان» نامیده میشود —، دولت بریتانیا حق تحمیل تعهدات نظارتی را در قلب ارتباطات خصوصی برای خود قائل است. نقطه شکست، قدرتی است که به نهاد نظارتی OFCOM داده شده است تا از پلتفرمها بخواهد «فناوری معتبر» را برای شناسایی محتوای سوءاستفاده جنسی از کودکان (CSEA) یا تروریسم، از جمله در ارتباطات رمزگذاری شده سرتاسر (End-to-End)، مستقر کنند.
برای پلتفرمهای دیجیتال بزرگ، پیام وست مینستر واضح است: یا دسترسی دولت به زیرساختهای خود را تسهیل میکنند، یا با جریمههایی تا سقف ۱۰ درصد از درآمد جهانی خود مواجه میشوند. واکنش فوری بود: خدماتی مانند سیگنال (Signal) و واتساپ (WhatsApp) علناً تهدید کردند که از بازار بریتانیا خارج خواهند شد و از به خطر انداختن امنیت کاربران خود برای جلب رضایت یک حوزه قضایی واحد امتناع ورزیدند. بحث فنی به سختی قابل انکار است: هیچ شاهکلیدی وجود ندارد که منحصراً برای بازیگران قانونی محفوظ باشد. در باز برای مجریان قانون، بنا به طراحی، یک در باز برای مجرمان سایبری و سرویسهای اطلاعاتی خارجی است.
مدل کسبوکار پلتفرمهای بزرگ: یک مانع ساختاری برای دانش صفر (Zero-Knowledge)
مقاومت پلتفرمهای بزرگ در برابر اتخاذ رمزنگاری نوع دانش صفر با ناتوانی فنی توضیح داده نمیشود، بلکه با یک ناسازگاری اساسی اقتصادی توضیح داده میشود. شرکتهایی مانند آلفابت (Alphabet) و متا (Meta) بر مدلهای درآمدزایی مبتنی بر جمعآوری سیستماتیک دادههای رفتاری تکیه دارند. این مدل اتفاقاً به طور ضمنی توسط قانون بازارهای دیجیتال (DMA) اتحادیه اروپا به رسمیت شناخته شده است، که این «دروازهبانان» (gatekeepers) را به عنوان نهادهایی طبقهبندی میکند که موقعیت مسلط آنها دقیقاً از طریق انباشت دادهها در مقیاسی بینظیر تغذیه میشود. برای این بازیگران، اتخاذ یک معماری دانش صفر به معنای محروم کردن سیستمهای تبلیغاتی آنها از شناسایی مداوم کاربرانی است که سوخت آن را تشکیل میدهد. بنابراین این یک انتخاب فنی نیست، بلکه یک مبادله بین حریم خصوصی کاربران و دوام مدل کسبوکار آنها است.
خطر استراتژیک: تهدید «اکنون برداشت کن، بعداً رمزگشایی کن» (Harvest Now, Decrypt Later)
فراتر از بحث در مورد حریم خصوصی، تضعیف رمزنگاری مسئلهای در حوزه امنیت ملی با دامنهای کاملاً متفاوت را مطرح میکند. استراتژی معروف به Harvest Now, Decrypt Later (HNDL) شامل این است که دشمنان دولتی امروز حجم عظیمی از ارتباطات رمزگذاری شده را در انتظار قابلیتهای رمزگشایی کوانتومی آینده، رهگیری و ذخیره کنند. با تضعیف استانداردهای رمزنگاری فعلی، چارچوب قانونی بریتانیا از نظر عینی این نوع عملیات را علیه ارتباطات دولتی، دیپلماتیک یا صنعتی تسهیل میکند.
دقیقاً در همین زمینهِ کمبود اعتماد است که اکوسیستمهایی مانند آرپوکرات (Arpokrat) اهمیت عملیاتی پیدا میکنند. با فعالیت تحت رژیم قانون فدرال حفاظت از دادههای سوئیس (FADP)، با معماری که هیچ شناسه مدنی را جمعآوری نمیکند، آرپوکرات یک گسست فنی از زیرساختهای مشمول حوزه قضایی بریتانیا ارائه میدهد — و تضمین میکند که سیستم در برابر احکام پیشبینی شده توسط قانون OSA ناشنوا باقی میماند.
تضاد هنجارها: OSA و IPA در برابر حقوق اروپا
تحلیل حقوقی امتیازات جدید دولتی بریتانیا، برخورد مستقیمی را با مبانی حقوق اروپا در مورد حفاظت از دادهها و محرمانگی ارتباطات آشکار میکند.
قانون OSA در برابر ممنوعیت نظارت تعمیم یافته
ماده ۱۲۱ قانون OSA این امکان را برای OFCOM معرفی میکند که احکامی صادر کند که پلتفرمها را مجبور به اجرای اسکن سمت کاربر (client-side scanning) میکند. این اقدام مستقیماً با اصلی که از حقوق اروپا نشأت گرفته و در رویه قضایی دیوان دادگستری اتحادیه اروپا (CJEU) گنجانده شده است و تعهدات نظارت عمومی را ممنوع میکند، در تضاد است. با تحمیل یک «آسیبپذیری از طریق طراحی» (vulnerability by design)، این امر شرکتها را در یک وضعیت بنبست مضاعف نیز قرار میدهد: با تضعیف امنیت خود برای تبعیت از یک دستور دولتی، آنها در تعهد خود برای تضمین سطح امنیتی متناسب با پردازش، همانطور که در ماده ۳۲ قانون GDPR تصریح شده است، کوتاهی میکنند.
دستورالعمل حریم خصوصی الکترونیک (ePrivacy) و محرمانگی ارتباطات
اسکن پیامهای خصوصی در تضاد مستقیم با ماده ۵، بند ۱ از دستورالعمل 2002/58/EC (ePrivacy) است، که کشورهای عضو را موظف میکند محرمانگی ارتباطات الکترونیکی را تضمین کنند و هرگونه شکل رهگیری یا نظارت را بدون رضایت صریح کاربرانِ ذینفع ممنوع میکند.
اطلاعیههای قابلیت فنی (Technical Capability Notices) و مسدود کردن بهروزرسانیهای امنیتی
تحت رژیم IPA ۲۰۱۶، دولت بریتانیا اکنون در نظر دارد از اطلاعیههای قابلیت فنی (TCN) برای مخالفت با بهروزرسانیهای امنیتی قبل از استقرار آنها استفاده کند. این مکانیسم تضادی لاینحل با تعهدی ایجاد میکند که توسط ماده ۳۲ قانون GDPR تعیین شده است تا از امنیت مداوم سیستمهای پردازش اطمینان حاصل شود — تعهدی که دقیقاً نیازمند توانایی اعمال اصلاحیهها (patches) بدون تأخیر یا مداخله خارجی است.
خطرات انطباق (Compliance) برای شرکتهای فعال در اروپا
بازنگریهای قانون IPA با هدف مجبور کردن شرکتها به اطلاعرسانی به دولت بریتانیا در مورد هرگونه تغییر فنی مؤثر بر امنیت، قبل از اجرای آن است، و در نتیجه حق وتو در مورد توسعه محصول را به آن اعطا میکند. این مداخله ناامنی حقوقی قابل توجهی را برای تأمینکنندگان فعال در بازار اروپا ایجاد میکند: کفایت بریتانیا نسبت به حقوق اروپا — که از قبل شکننده بود — میتواند مورد تردید قرار گیرد اگر بریتانیا دیگر حفاظتی اساساً معادل با حفاظت GDPR را تضمین نکند. بنابراین، انتقال دادهها به بریتانیا تحت این چارچوب جدید احتمالاً شرکتها را در معرض مجازاتهای تحت GDPR قرار میدهد.
دفاع از طریق عدم امکان فنی: اصل دانش صفر به عنوان یک سپر حقوقی
رویه قضایی بینالمللی، که با احکام Schrems I و Schrems II از دیوان دادگستری اتحادیه اروپا (CJEU) تثبیت شده است، یک اصل تعیینکننده را پایهگذاری کرده است: تنها پادمان قوی در برابر نظارت نامتناسب، عدم امکان فنی دسترسی به آن است. معماریهای دانش صفر (Zero-Knowledge) این اصل را در سه لایه محافظتی اعمال میکنند:
- فقدان حضانت: از آنجا که پلتفرم کلیدهای رمزگشایی را در اختیار ندارد، هرگونه حکم برای اسکن پیامها از نظر فنی غیرقابل اجرا است؛
- حاکمیت سیستم عامل: کنترل ArpokratOS تلهمتری که جمعآوری اطلاعات در سطح دستگاه را تغذیه میکند، از بین میبرد؛
- لنگرگاه قضایی سوئیس: آرپوکرات با میزبانی زیرساختهای خود در سوئیس، تحت یک رژیم قانونی عمل میکند که نیازمند درخواستهای معاضدت قضایی متقابلِ فردی و مستدل است، و اجرای خودکار اسکنهای انبوه پیشبینی شده توسط OSA را خنثی میکند.
نتیجهگیری
مفاد قانون OSA و بازنگریهای قانون IPA تنها تهدیدی برای حریم خصوصی افراد نیستند: آنها نشاندهنده نقض قطعیت حقوقی برای تمام دادههای اروپایی هستند که از طریق زیرساختهای مشمول حوزه قضایی بریتانیا عبور میکنند. با مشروعیت بخشیدن به تضعیف رمزنگاری به نام امنیت عمومی، لندن به طور متناقضی متحدان و شرکای تجاری خود را در معرض خطرات جاسوسی صنعتی و دولتی قرار میدهد که معماریهای دانش صفر دقیقاً برای جلوگیری از آنها طراحی شدهاند.
یکپارچگی ارتباطات حرفهای و نهادی اکنون نیازمند یک پاسخ ساختاری است: مهاجرت به سمت اکوسیستمهای غیرمتمرکز که حاکمیت دیجیتال را از سطح کد تا لنگرگاه قضایی تضمین میکنند.