Kraj privatnosti? Backdoors, Online Safety Act i odgovor suverenih ekosistema

Wed, 10 Jun 2026 00:00:00 +0000

London je postao epicentar globalne bitke za budućnost digitalne privatnosti. Sa usvajanjem Zakona o bezbednosti na mreži (OSA) za 2023. godinu i nedavnim predlozima za reviziju Zakona o istražnim ovlašćenjima (IPA) — koji su njegovi kritičari nazvali „Poveljom špijuna“ —, britanska vlada prisvaja pravo da nametne obaveze nadzora u samom srcu privatnih komunikacija. Prelomna tačka je ovlašćenje dato regulatoru OFCOM da od platformi zahteva implementaciju „akreditovane tehnologije“ za otkrivanje materijala o seksualnom zlostavljanju dece (CSEA) ili terorizma, uključujući i unutar end-to-end šifrovanih komunikacija.

Za velike digitalne platforme poruka iz Vestminstera je nedvosmislena: ili će omogućiti državni pristup svojim infrastrukturama, ili će se suočiti s kaznama u iznosu do 10% svojih globalnih prihoda. Reakcija je bila trenutna: usluge poput Signal-a i WhatsApp-a javno su zapretile povlačenjem sa britanskog tržišta, odbijajući da ugroze bezbednost svojih korisnika kako bi zadovoljili jednu jedinu jurisdikciju. Tehnički argument je teško osporiti: ne postoji master ključ (glavni ključ) rezervisan isključivo za legitimne aktere. Otvorena vrata za sprovođenje zakona su, po samom dizajnu, otvorena vrata za sajber kriminalce i strane obaveštajne službe.

Poslovni model velikih platformi: strukturna prepreka za Zero-Knowledge

Otpor velikih platformi usvajanju Zero-Knowledge šifrovanja ne objašnjava se tehničkom nesposobnošću, već fundamentalnom ekonomskom nekompatibilnošću. Kompanije poput Alphabet-a i Meta-e oslanjaju se na modele monetizacije zasnovane na sistematskom prikupljanju podataka o ponašanju. Ovaj model, inače, implicitno priznaje Zakon o digitalnim tržištima (DMA) Evropske unije, koji ove „čuvare pristupa“ (gatekeepers) klasifikuje kao entitete čija se dominantna pozicija napaja upravo akumulacijom podataka u neviđenim razmerama. Za ove aktere, usvajanje Zero-Knowledge arhitekture značilo bi lišavanje njihovih reklamnih sistema kontinuirane identifikacije korisnika koja predstavlja njihovo gorivo. To, dakle, nije tehnički izbor, već kompromis između privatnosti korisnika i održivosti njihovog poslovnog modela.

Strateški rizik: pretnja „Harvest Now, Decrypt Later“

Pored debate o privatnosti, slabljenje šifrovanja postavlja pitanje nacionalne bezbednosti potpuno drugačijeg obima. Strategija poznata kao Harvest Now, Decrypt Later (HNDL) uključuje državne protivnike koji danas presreću i skladište ogromne količine šifrovanih komunikacija, u iščekivanju budućih kapaciteta za kvantno dešifrovanje. Oslabljujući aktuelne standarde šifrovanja, britanski zakonodavni okvir objektivno olakšava ovakav tip operacija protiv vladinih, diplomatskih ili industrijskih komunikacija.

Upravo u ovom kontekstu nedostatka poverenja ekosistemi poput Arpokrata stiču operativnu relevantnost. Delujući pod režimom Švajcarskog saveznog zakona o zaštiti podataka (FADP), sa arhitekturom koja ne prikuplja nikakve civilne identifikatore, Arpokrat nudi tehnički prekid od infrastruktura koje su podložne britanskoj jurisdikciji — garantujući da sistem ostaje gluv na naloge koje predviđa OSA.

Sukob normi: OSA i IPA protiv evropskog prava

Pravna analiza novih britanskih državnih prerogativa otkriva direktan sudar sa temeljima evropskog prava u pogledu zaštite podataka i poverljivosti komunikacija.

OSA protiv zabrane generalizovanog nadzora

Član 121. OSA-e uvodi mogućnost da OFCOM izdaje naloge kojima primorava platforme da primene skeniranje na strani klijenta (client-side scanning). Ova mera se direktno suprotstavlja principu, izvedenom iz evropskog prava i uključenom u sudsku praksu Suda pravde EU (CJEU), koji zabranjuje opšte obaveze nadzora. Namećući „ranjivost po dizajnu“ (vulnerability by design), takođe stavlja kompanije u situaciju dvostruke obaveze: slabljenjem svoje bezbednosti kako bi ispunile državni mandat, one ne ispunjavaju svoju obavezu da garantuju nivo bezbednosti koji odgovara obradi, kao što je utvrđeno u članu 32. GDPR-a.

ePrivacy direktiva i poverljivost komunikacija

Skeniranje privatnih poruka je u direktnoj suprotnosti sa članom 5, stav 1. Direktive 2002/58/EC (ePrivacy), koji obavezuje države članice da garantuju poverljivost elektronskih komunikacija i zabranjuje svaki oblik presretanja ili nadzora bez izričitog pristanka dotičnih korisnika.

Technical Capability Notices i blokiranje bezbednosnih ažuriranja

Pod režimom IPA 2016, britanska vlada sada namerava da koristi Obaveštenja o tehničkim mogućnostima (Technical Capability Notices - TCN) kako bi se suprotstavila bezbednosnim ažuriranjima pre nego što budu raspoređena. Ovaj mehanizam stvara nerešiv konflikt sa obavezom, postavljenom u članu 32. GDPR-a, da se osigura kontinuirana bezbednost sistema obrade — obavezom koja upravo zahteva sposobnost primene zakrpa (patches) bez odlaganja ili spoljnih smetnji.

Rizici usklađenosti za kompanije koje posluju u Evropi

Revizije IPA-e imaju za cilj da primoraju kompanije da obaveste britansku vladu o bilo kakvoj tehničkoj modifikaciji koja utiče na bezbednost, pre njene implementacije, dajući joj time pravo veta na razvoj proizvoda. Ovo mešanje stvara značajnu pravnu nesigurnost za dobavljače koji posluju na evropskom tržištu: britanska adekvatnost evropskom pravu — već krhka — mogla bi biti dovedena u pitanje ako UK više ne garantuje zaštitu koja je u suštini ekvivalentna onoj iz GDPR-a. Prenos podataka u UK prema ovom novom okviru stoga bi verovatno izložio kompanije sankcijama prema GDPR-u.

Odbrana tehničkom nemogućnošću: Zero-Knowledge princip kao pravni štit

Međunarodna sudska praksa, konsolidovana presudama Schrems I i Schrems II Suda pravde EU, uspostavila je odlučujući princip: jedina snažna zaštita protiv nesrazmernog nadzora je tehnička nemogućnost pristupa. Zero-Knowledge arhitekture primenjuju ovaj princip u tri sloja zaštite:

Odsustvo starateljstva: pošto platforma ne poseduje ključeve za dešifrovanje, svaki nalog za skeniranje poruka je tehnički nesprovodiv;
Suverenitet operativnog sistema: kontrola nad ArpokratOS-om eliminiše telemetriju koja hrani prikupljanje obaveštajnih podataka na nivou uređaja;
Švajcarsko jurisdikciono usidrenje: hostujući svoju infrastrukturu u Švajcarskoj, Arpokrat operiše pod pravnim režimom koji zahteva individualizovane i obrazložene zahteve za uzajamnu pravnu pomoć, neutrališući automatizovano izvršavanje masovnih skeniranja koje predviđa OSA.

Zaključak

Odredbe OSA-e i revizije IPA-e nisu samo pretnja privatnosti pojedinaca: one predstavljaju kršenje pravne sigurnosti za sve evropske podatke koji prolaze kroz infrastrukture podložne britanskoj jurisdikciji. Legitimišući slabljenje šifrovanja u ime javne bezbednosti, London paradoksalno izlaže svoje saveznike i trgovinske partnere rizicima industrijske i državne špijunaže koje su Zero-Knowledge arhitekture upravo i dizajnirane da spreče.

Integritet profesionalnih i institucionalnih komunikacija sada zahteva strukturni odgovor: migraciju ka decentralizovanim ekosistemima koji garantuju digitalni suverenitet, od nivoa koda sve do jurisdikcionog usidrenja.

GDPR on Arpokrat