Mwisho wa faragha? Backdoors, Sheria ya Usalama Mtandaoni (OSA) na majibu ya mifumo huru

Wed, 10 Jun 2026 00:00:00 +0000

London imekuwa kitovu cha pambano la kimataifa la mustakabali wa faragha ya kidijitali. Kwa kupitishwa kwa Sheria ya Usalama Mtandaoni 2023 (OSA) na mapendekezo ya hivi majuzi ya kurekebisha Sheria ya Mamlaka ya Upelelezi (IPA) — inayoitwa “Mkataba wa Majasusi” na wakosoaji wake —, serikali ya Uingereza inadai haki ya kuweka majukumu ya ufuatiliaji katika kiini cha mawasiliano ya kibinafsi. Jambo la kuvunja ni uwezo uliopewa mdhibiti OFCOM wa kuhitaji mifumo kusambaza “teknolojia iliyoidhinishwa” ili kugundua nyenzo za unyonyaji na unyanyasaji wa kijinsia kwa watoto (CSEA) au ugaidi, hata ndani ya mawasiliano yaliyosimbwa kutoka mwisho hadi mwisho.

Kwa majukwaa makuu ya kidijitali, ujumbe wa Westminster hauna utata: ima wanawezesha ufikiaji wa serikali kwa miundombinu yao, au wanakabiliwa na faini ya hadi 10% ya mapato yao ya kimataifa. Jibu lilikuwa la haraka: huduma kama vile Signal na WhatsApp zilitishia hadharani kujiondoa kwenye soko la Uingereza, zikikataa kuhatarisha usalama wa watumiaji wao ili kutosheleza mamlaka moja. Hoja ya kiufundi ni ngumu kupinga: hakuna ufunguo mkuu (master key) uliotengwa kwa waigizaji halali pekee. Mlango uliofunguliwa kwa utekelezaji wa sheria, kwa muundo, ni mlango uliofunguliwa kwa wahalifu wa mtandao na huduma za ujasusi za kigeni.

Mfano wa biashara wa majukwaa makubwa: kikwazo cha kimuundo kwa Zero-Knowledge

Upinzani wa majukwaa makubwa katika kupitisha usimbaji fiche wa aina ya Zero-Knowledge hauelezeki na kutoweza kwa kiufundi, bali kwa kutopatana kwa msingi wa kiuchumi. Makampuni kama Alphabet na Meta hutegemea miundo ya uchumaji wa mapato kulingana na mkusanyiko wa kimfumo wa data ya tabia. Mtindo huu, kwa bahati mbaya, unatambuliwa kwa njia isiyo wazi na Sheria ya Masoko ya Kidijitali ya Umoja wa Ulaya (DMA), ambayo inaainisha “walinda milango” (gatekeepers) hawa kama huluki ambazo nafasi yao kuu inachochewa kwa usahihi na mkusanyiko wa data kwa kiwango kisicho na kifani. Kwa waigizaji hawa, kupitisha usanifu wa Zero-Knowledge kungemaanisha kunyima mifumo yao ya utangazaji utambulisho endelevu wa watumiaji ambao unaunda mafuta yake. Kwa hivyo sio chaguo la kiufundi, lakini ni biashara kati ya faragha ya mtumiaji na uwezekano wa muundo wao wa biashara.

Hatari ya kimkakati: Tishio la “Harvest Now, Decrypt Later”

Zaidi ya mjadala kuhusu faragha, kudhoofika kwa usimbaji fiche kualeta suala la usalama wa taifa lenye upeo tofauti kabisa. Mkakati unaojulikana kama Harvest Now, Decrypt Later (HNDL) unahusisha wapinzani wa serikali kunasa na kuhifadhi idadi kubwa ya mawasiliano yaliyosimbwa leo, kwa kutarajia uwezo wa utatuzi wa quantum siku zijazo. Kwa kudhoofisha viwango vya sasa vya usimbaji fiche, mfumo wa kisheria wa Uingereza kwa njia inayoonekana hurahisisha shughuli za aina hii dhidi ya mawasiliano ya serikali, kidiplomasia, au viwanda.

Ni kwa usahihi katika muktadha huu wa nakisi ya uaminifu ambapo mifumo kama ile ya Arpokrat hupata umuhimu wa kufanya kazi. Kwa kufanya kazi chini ya utawala wa Sheria ya Shirikisho la Uswizi kuhusu Ulinzi wa Data (FADP), iliyo na usanifu usikusanya vitambulisho vyovyote vya raia, Arpokrat inatoa mapumziko ya kiufundi kutoka kwa miundombinu iliyo chini ya mamlaka ya Uingereza — ikihakikisha kwamba mfumo unasalia kuwa kiziwi kwa maagizo yaliyotarajiwa na OSA.

Mgongano wa kanuni: OSA na IPA dhidi ya sheria ya Ulaya

Uchambuzi wa kisheria wa haki mpya za serikali ya Uingereza unafichua mgongano wa moja kwa moja na misingi ya sheria ya Ulaya kuhusu ulinzi wa data na usiri wa mawasiliano.

OSA dhidi ya marufuku ya ufuatiliaji wa jumla

Kifungu cha 121 cha OSA kinaleta uwezekano kwa OFCOM kutoa ilani zinazolazimisha majukwaa kutekeleza skanning upande wa mteja (client-side scanning). Hatua hii inakinzana moja kwa moja na kanuni, inayotokana na sheria ya Ulaya na kujumuishwa katika sheria ya CJEU, inayokataza majukumu ya jumla ya ufuatiliaji. Kwa kulazimisha “udhaifu kwa kubuni” (vulnerability by design), pia inaweka makampuni katika hali ya kujifunga mara mbili: kwa kudhoofisha usalama wao kutii mamlaka ya serikali, wanashindwa katika wajibu wao wa kuhakikisha kiwango cha usalama kinachofaa kwa usindikaji, kama ilivyoainishwa katika Kifungu cha 32 cha GDPR.

Maelekezo ya ePrivacy na usiri wa mawasiliano

Uchanganuzi wa jumbe za faragha unapingana moja kwa moja na Kifungu cha 5, aya ya 1, ya Maelekezo ya 2002/58/EC (ePrivacy), ambayo inazitaka Nchi Wanachama kuhakikisha usiri wa mawasiliano ya kielektroniki na kupiga marufuku aina yoyote ya usikilizaji au ufuatiliaji bila idhini ya wazi ya watumiaji wanaohusika.

Technical Capability Notices na kuzuia masasisho ya usalama

Chini ya mfumo wa IPA 2016, serikali ya Uingereza sasa inakusudia kutumia Notisi za Uwezo wa Kiufundi (Technical Capability Notices - TCN) ili kuzuia masasisho ya usalama kabla hayajasambazwa. Utaratibu huu unaleta mgogoro usioweza kutatuliwa na wajibu, uliowekwa na Kifungu cha 32 cha GDPR, ili kuhakikisha usalama unaoendelea wa mifumo ya usindikaji — wajibu ambao unahitaji kwa usahihi uwezo wa kutumia marekebisho (patches) bila kuchelewa au kuingiliwa na nje.

Hatari za kufuata sheria kwa makampuni yanayofanya kazi barani Ulaya

Masahihisho ya IPA yanalenga kulazimisha kampuni kuiarifu serikali ya Uingereza juu ya mabadiliko yoyote ya kiufundi yanayoathiri usalama, kabla ya utekelezaji wake, na hivyo kuipa haki ya kura ya turufu juu ya ukuzaji wa bidhaa. Kuingilia huku kunazua ukosefu wa usalama wa kisheria kwa wasambazaji wanaoendesha biashara katika soko la Uropa: utoshelevu wa Uingereza kwa sheria ya Uropa — ambayo tayari ni dhaifu — unaweza kutiliwa shaka ikiwa Uingereza haitahakikisha tena ulinzi unaolingana na ule wa GDPR. Kwa hivyo, uhawilishaji wa data kwenda Uingereza chini ya mfumo huu mpya unaweza kuyaweka makampuni kwenye vikwazo chini ya GDPR.

Ulinzi kupitia kutowezekana kwa kiufundi: kanuni ya Zero-Knowledge kama ngao ya kisheria

Hukumu ya kimataifa, iliyoimarishwa na uamuzi wa Schrems I na Schrems II wa CJEU, imeanzisha kanuni inayofafanua: ulinzi thabiti pekee dhidi ya ufuatiliaji usio na uwiano ni kutowezekana kiufundi kwa kuipata. Usanifu wa Zero-Knowledge unatumia kanuni hii katika tabaka tatu za ulinzi:

Kutokuwepo kwa ulinzi: kwa kuwa jukwaa halina funguo za kusimbua, amri yoyote ya kuchanganua ujumbe kiufundi haifanyi kazi;
Mamlaka ya mfumo wa uendeshaji: udhibiti wa ArpokratOS huondoa telemetry inayoendesha mkusanyiko wa kijasusi katika kiwango cha kifaa;
Kutia nanga kwa mamlaka ya Uswizi: kwa kukaribisha miundombinu yake nchini Uswizi, Arpokrat inafanya kazi chini ya utawala wa kisheria unaohitaji maombi ya usaidizi wa kisheria ya kibinafsi na yaliyotolewa kwa sababu, na kudhoofisha utekelezaji wa kiotomatiki wa uchanganuzi wa wingi unaotarajiwa na OSA.

Hitimisho

Masharti ya OSA na marekebisho ya IPA sio tu tishio kwa faragha ya watu binafsi: yanawakilisha uvunjaji wa uhakika wa kisheria kwa data zote za Ulaya zinazopitia miundombinu chini ya mamlaka ya Uingereza. Kwa kuhalalisha kudhoofika kwa usimbaji fiche kwa jina la usalama wa umma, London kwa kushangaza inafichua washirika wake na washirika wa biashara kwa hatari za ujasusi wa kiviwanda na wa serikali ambao usanifu wa Zero-Knowledge umeundwa kwa usahihi kuzuia.

Uadilifu wa mawasiliano ya kitaalamu na ya kitaasisi sasa unahitaji jibu la kimuundo: uhamiaji kuelekea mifumo iliyogatuliwa inayohakikisha mamlaka ya kidijitali, kutoka kiwango cha msimbo hadi uhamishaji wa mamlaka.

Ufuatiliaji Wa Watu Wengi on Arpokrat