- ศาลสิทธิมนุษยชนยุโรปสั่งห้ามการลดทอนความปลอดภัยของ การเข้ารหัสแบบปลายทางถึงปลายทาง (end-to-end encryption) โดยทั่วไป ซึ่งอาจทำให้แผนเฝ้าระวังมวลชน CSAR แบบ chat control ของ EU ต้องสะดุดลงด้วย
- คำตัดสินระบุว่าการเข้ารหัสช่วยปกป้องประชาชนและธุรกิจจาก การแฮ็ก การขโมยตัวตนและข้อมูลส่วนบุคคล การฉ้อโกง และการรั่วไหลของข้อมูลลับ และเห็นว่า backdoor อาจถูกเครือข่ายอาชญากรรมนำไปใช้ในทางที่ผิดได้
- ศาลเห็นว่ายังมีวิธีเฝ้าระวังการสื่อสารที่เข้ารหัสโดยไม่ลดระดับการคุ้มครองของผู้ใช้ทั้งหมดได้ โดยยกตัวอย่างการใช้ ช่องโหว่ ของซอฟต์แวร์เป้าหมาย หรือการส่ง implant ไปยังอุปกรณ์
- Patrick Breyer สมาชิกรัฐสภายุโรปประเมินว่า client-side scanning ของ EU Commission ซึ่งเฝ้าระวังสมาร์ทโฟนทุกเครื่องและทำลายการคุ้มครองด้วยการเข้ารหัสนั้น ผิดกฎหมายอย่างชัดเจนตามคำตัดสินนี้
- EU Parliament ปฏิเสธการทำลายการเข้ารหัสที่ปลอดภัยและ chat control แบบไม่เลือกหน้า แต่หาก EU Council กำหนดจุดยืนแล้ว การเจรจาอาจเริ่มขึ้นได้ และรัฐมนตรีมหาดไทยของ EU มีกำหนดหารือร่างกฎหมายนี้อีกครั้งในต้นเดือนมีนาคม
การลดทอนการเข้ารหัสที่คำตัดสินสั่งห้าม
- ศาลสิทธิมนุษยชนยุโรปสั่งห้ามมาตรการที่ลดทอนความปลอดภัยของ การเข้ารหัสแบบปลายทางถึงปลายทาง โดยทั่วไป
- การเข้ารหัสได้รับการยอมรับว่าเป็นเครื่องมือที่ช่วยปกป้องประชาชนและธุรกิจจากภัยคุกคามหลายรูปแบบ
- การแฮ็ก
- การขโมยตัวตนและการขโมยข้อมูลส่วนบุคคล
- การฉ้อโกง
- การเปิดเผยข้อมูลลับโดยไม่ได้รับอนุญาต
- backdoor อาจถูก เครือข่ายอาชญากรรม นำไปใช้ในทางที่ผิด จนอาจเป็นอันตรายร้ายแรงต่อความปลอดภัยของการสื่อสารอิเล็กทรอนิกส์ของผู้ใช้ทุกคน
- ศาลเห็นว่าวิธีการเฝ้าระวังที่ไม่ลดระดับการคุ้มครองของผู้ใช้ทั้งหมดก็เป็นไปได้
- การใช้ ช่องโหว่ ของซอฟต์แวร์เป้าหมาย
- การส่ง implant ไปยังอุปกรณ์เป้าหมาย
- มีการอ้าง para. 76 ff. ในเอกสารคำตัดสินของ ECHR เป็นเหตุผลประกอบคำตัดสิน
การประเมินของ Breyer ต่อร่างกฎหมาย EU chat control
- Patrick Breyer สมาชิกรัฐสภายุโรปและสมาชิกพรรค Pirate Party ประเมินคำตัดสินนี้ว่าเป็น landmark judgement
- Breyer เห็นว่าการเฝ้าระวังด้วย client-side scanning ที่มุ่งสแกนสมาร์ทโฟนทุกเครื่องตามร่างกฎหมาย chat control ของ EU Commission นั้นผิดกฎหมายอย่างชัดเจน
- ตามการประเมินของเขา วิธีนี้ไม่ได้มุ่งเป้าไปที่ผู้ต้องสงสัย แต่กลับทำลายการคุ้มครองด้วยการเข้ารหัสของทุกคน
- Breyer เรียกร้องให้รัฐบาล EU ตัดการทำลายการเข้ารหัสที่ปลอดภัยและการเฝ้าระวังการสื่อสารส่วนตัวของประชากรทั้งหมดแบบไม่เลือกหน้าออกจากร่างกฎหมาย
ความกังวลเรื่องการเข้ารหัสและความต่อเนื่องของบริการ
- Breyer เน้นย้ำว่าการเข้ารหัสที่ปลอดภัย ช่วยชีวิตคนได้
- หากไม่มีการเข้ารหัส ก็ไม่อาจมั่นใจได้ว่าข้อความหรือรูปภาพจะถูกเปิดเผยต่อบุคคลที่ไม่น่าเชื่อถือหรือไม่
- สิ่งที่เรียกว่า client-side scanning ถูกประเมินว่าจะนำไปสู่ผลลัพธ์หนึ่งในสองอย่าง
- ทำให้การสื่อสารไม่ปลอดภัยโดยพื้นฐาน
- ทำให้พลเมืองยุโรปไม่สามารถใช้ Whatsapp หรือ Signal ได้อีกต่อไป
- Breyer ระบุว่าผู้ให้บริการเหล่านั้นได้พิจารณาทางเลือกในการยุติบริการในยุโรปแล้ว
- ร่างจุดยืนล่าสุดของ EU Council ถูกวิจารณ์ว่ายังคงวางแผนทำลายการเข้ารหัสที่ปลอดภัยอยู่
โครงสร้างของข้อเสนอจาก EU Commission
- EU Commission และเครือข่ายอุตสาหกรรมของหน่วยงานกำกับดูแลด้านการเฝ้าระวังเรียกร้องให้มีการค้นหาการสื่อสารส่วนตัวโดยทั่วไป
- ขอบเขตการค้นหารวมถึง messenger ที่เข้ารหัสแบบปลายทางถึงปลายทาง ด้วย
- เป้าหมายคือการค้นหาสัญญาณของเนื้อหาผิดกฎหมาย
- วิธีนี้พึ่งพาเทคโนโลยีที่เกิดข้อผิดพลาดได้ง่าย
- สามารถดำเนินการได้ก็ต่อเมื่อต้องลดทอนความปลอดภัยของการเข้ารหัสแบบปลายทางถึงปลายทาง
จุดยืนปัจจุบันของแต่ละสถาบันใน EU
- รัฐบาล EU ส่วนใหญ่สนับสนุน initiative นี้
- อย่างไรก็ตาม มี blocking minority ที่ขัดขวางการตัดสินใจอยู่
- รัฐมนตรีมหาดไทยของ EU มีกำหนดหารือร่างกฎหมายนี้อีกครั้งในต้นเดือนมีนาคม
- EU Parliament ปฏิเสธสิ่งต่อไปนี้ภายใต้แรงกดดันจาก Pirates และภาคประชาสังคม
- การทำลายการเข้ารหัสที่ปลอดภัย
- chat control แบบไม่เลือกหน้า
- จุดยืนของ Parliament จะเป็น จุดเริ่มต้น ของการเจรจาที่อาจเกิดขึ้นหลังจาก EU Council กำหนดจุดยืนแล้ว
Meta และ chat control แบบสมัครใจ
- Meta ประกาศว่าจะเริ่มเข้ารหัส direct messages ของ Facebook และ Instagram ภายในปี 2024
- บริษัทระบุว่าจะยุติการเฝ้าระวังแบบ chat control โดยสมัครใจในปัจจุบันสำหรับข้อความดังกล่าว
- EU กำลังดำเนินกระบวนการต่ออายุการอนุญาตสำหรับ chat control แบบสมัครใจ
- หน้าข้อมูล chat control ของ Breyer คือ chatcontrol.eu
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
ในคดีนี้ ศาลเห็นว่า หน้าที่ในการถอดรหัสการสื่อสารแบบเข้ารหัสตั้งแต่ต้นทางถึงปลายทาง เป็นการละเมิดสิทธิความเป็นส่วนตัวอย่างไม่ได้สัดส่วน
กฎหมายที่เป็นปัญหากำหนดให้เมสเซนเจอร์อย่าง Telegram ต้องส่งมอบเนื้อหาการสื่อสาร และในกรณีที่มีการเข้ารหัส ก็ต้องส่งมอบ “ข้อมูลที่จำเป็นต่อการถอดรหัสข้อความอิเล็กทรอนิกส์” ด้วย
ศาลเห็นว่าการทำให้การเข้ารหัสตั้งแต่ต้นทางถึงปลายทางอ่อนแอลงด้วยแบ็กดอร์จะส่งผลกระทบในวงกว้าง และยังอ้างถึงข้อเรียกร้องที่ว่า ควรหาทางเลือกในการถอดรหัส “ที่ไม่ทำให้กลไกการป้องกันอ่อนแอลง” ผ่านการออกกฎหมายและความก้าวหน้าทางเทคโนโลยีอย่างต่อเนื่อง ซึ่งรวมถึงการสืบสวนแบบดั้งเดิม การสืบสวนแฝงตัว การวิเคราะห์เมทาดาตา ความร่วมมือตำรวจระหว่างประเทศ การทำ live forensics กับอุปกรณ์ที่ยึดมา การคาดเดาหรือได้มาซึ่งคีย์ส่วนตัวที่คู่สื่อสารถืออยู่ การใช้ช่องโหว่ซอฟต์แวร์แบบเจาะจงเป้าหมาย หรือการส่ง implant เป็นต้น
แม้จะเป็นคำพิพากษาเกี่ยวกับคดีและกฎหมายเฉพาะ แต่โดยรวมศาลดูค่อนข้างกังขาต่อแนวทางที่กำหนดให้ผู้ให้บริการ ทำให้กลไกการเข้ารหัสของผู้ใช้ทั้งหมดอ่อนแอลง หากเป็นรัฐบาลสหราชอาณาจักร ก็น่าจะกังวลได้ว่าคำพิพากษานี้อาจเป็นเหตุให้ Online Safety Bill ถูกศาลภายในประเทศหรือศาลยุโรปพลิกกลับได้
อย่างไรก็ตาม แม้จะเห็นว่าแบ็กดอร์ของการเข้ารหัสตั้งแต่ต้นทางถึงปลายทางเกินขอบเขตข้อจำกัดที่ชอบธรรมต่อสิทธิความเป็นส่วนตัว แต่สิทธิความเป็นส่วนตัวเป็นสิทธิที่สามารถพักใช้ได้ ดังนั้นหากรัฐบาลประกาศภาวะฉุกเฉินที่ “คุกคามชีวิตของชาติ” ก็สามารถพักใช้ได้เท่าที่จำเป็นตามมาตรา 15 ของ ECHR
ย่อหน้าที่เกี่ยวข้องคือ 76~80: https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...
สิ่งดีที่สุดที่ทำได้คือออกประกาศความไม่สอดคล้อง ซึ่งจะเปิดทางให้รัฐมนตรีแก้ข้อบกพร่องผ่านกฎหมายลำดับรองได้โดยไม่ต้องผ่านกฎหมายใหม่อีกครั้ง แน่นอนว่านั่นเป็นเรื่องของการมีเจตจำนงทางการเมืองที่จะทำเช่นนั้น
แต่ Online Safety Act พยายามจัดการหลายส่วนผ่านกฎหมายลำดับรอง โค้ดตามกฎหมาย และแนวปฏิบัติ ดังนั้นสิ่งเหล่านี้ศาลสามารถเพิกถอนได้ ตราบใดที่ตัวกฎหมายไม่ได้บังคับให้ต้องสร้างมาตรการที่ละเมิดสิทธิอย่างหลีกเลี่ยงไม่ได้ ก็น่าสนใจว่าจะพัฒนาไปอย่างไรต่อ
น่าเสียดายที่เราไม่สามารถพูดง่าย ๆ ได้ว่ามันเข้ากันไม่ได้โดยสิ้นเชิง ตามคำพิพากษานี้จะเป็นปัญหาเฉพาะเมื่อไม่มีมาตรการคุ้มครองที่ดี และคำพิพากษาใช้คำว่า “adequate” ในที่หนึ่ง และ “suitable” ในอีกที่หนึ่ง แต่ไม่ชัดเจนว่าหมายถึงอะไรอย่างเป็นรูปธรรม
https://www.chathamhouse.org/2023/03/uk-must-not-sleepwalk-l...
เพื่อตอบสนองต่อคำขอข้อมูลถอดรหัส Lavabit ส่งมอบคีย์ส่วนตัวให้ แต่ส่งเป็นกระดาษที่พิมพ์ด้วยเครื่องพิมพ์ดีด อาจมีพิมพ์ผิดอยู่ตรงหน้า 6 หรือหน้า 12 ก็ได้
https://thenextweb.com/news/you-wont-believe-what-email-prov...
ค่อนข้างสับสน ตัวบทความดูมีสีทางการเมืองพอสมควร และแม้จะอ้างคำประชาสัมพันธ์ของ Pirate Party แต่ก็ไม่ได้อธิบายว่าคดีใดขึ้นสู่ศาล และคำพิพากษาห้ามอะไรแน่ ๆ จึงลองกดดูคำพิพากษาจริงที่ลิงก์ไว้ด้านล่างสุด
คดีนี้ดูเหมือนไม่ได้เกี่ยวข้องโดยตรงกับ Pirate Party หรือ Chat Control เมื่อดูส่วนข้อเท็จจริงคร่าว ๆ เป็นคดีที่บุคคลคนหนึ่งฟ้องรัฐบาลรัสเซีย หลังจาก Telegram ถูกปรับเพราะไม่ส่งมอบข้อความแชตแบบ plaintext ทั้งบทความไม่มีแม้แต่คำว่า “Russia” เลย ไม่รู้ว่าบทความนี้กำลังรายงานอะไร และทำไมถึงบรรยายเหมือนเกี่ยวข้องกับกฎหมาย Chat Control ล่าสุด
เมื่อดูคำพิพากษาย่อหน้า 80~81 ระบุว่า “การเก็บการสื่อสารทางอินเทอร์เน็ตของผู้ใช้ทั้งหมด การให้หน่วยงานความมั่นคงเข้าถึงโดยตรงโดยไม่มีมาตรการคุ้มครองเพื่อป้องกันการใช้อำนาจในทางที่ผิด และข้อกำหนดให้ถอดรหัสการสื่อสารที่เข้ารหัสซึ่งใช้กับการสื่อสารแบบเข้ารหัสตั้งแต่ต้นทางถึงปลายทาง” ไม่อาจถือได้ว่าจำเป็นในสังคมประชาธิปไตย และจึงเป็น การละเมิดสิทธิความเป็นส่วนตัวตามมาตรา 8 ของ ECHR
อาจขยายเหตุผลนี้ไปใช้กับกฎหมายอื่นที่เลี่ยงการเข้ารหัสอย่าง Chat Control ได้ แต่ถ้าไม่พิจารณาสภาพการณ์เฉพาะของกฎหมายรัสเซีย ก็อาจไม่ถูกต้องนัก เช่น วลีในย่อหน้า 80 ที่ว่า “โดยไม่มีมาตรการคุ้มครองที่เพียงพอต่อการป้องกันการใช้อำนาจในทางที่ผิด” เป็นเรื่องสำคัญ และหาก Chat Control ไปอยู่ต่อหน้าคณะผู้พิพากษาเดียวกัน ก็อาจถูกวินิจฉัยว่ามีมาตรการเช่นนั้นก็ได้
ดีที่ยังมีผลกับสหราชอาณาจักรแม้หลัง Brexit สหราชอาณาจักรยังคงเป็น สมาชิก ECHR
ช่วงนี้ยุโรปกำลังแสดงให้เห็นค่อนข้างดีว่าจะทำ การกำกับดูแลเทคโนโลยี อย่างสมเหตุสมผลได้อย่างไร
มีหลายครั้งเกินไปที่เรื่องจบลงด้วยทำนองว่า “อีก 2 ปีก็คงกลับมาลองใหม่อีก” ดังนั้นการที่ข้อเสนอ ต่อต้านการเข้ารหัสแบบปลายทางถึงปลายทาง แบบนี้มีอุปสรรคระยะยาวขึ้นมา ก็ทำให้ค่อยอุ่นใจขึ้นหน่อย
ยุโรปทำอะไรที่ถูกใจจริง ๆ สักอย่างแล้ว
เคยกังวลว่าเรื่องเล่าแบบ “คิดถึงเด็ก ๆ สิ” จะเข้าครอบงำ แต่ดูเหมือนว่าอย่างน้อยในยุโรป คุณค่าของการเข้ารหัส ยังมีอนาคตอยู่
เรื่องการเข้ารหัสมีการดึงกันไปมาระหว่างรัฐบาลกับอุตสาหกรรมอยู่พอสมควร รัฐบาลไม่ควรฝังช่องโหว่ไว้ในอัลกอริทึม แต่ก็ต้องการวิธีอ่านข้อความของอาชญากรและผู้ก่อการร้ายด้วย ฝั่งอุตสาหกรรมก็อยากมีวิธีทำให้ลูกค้ารู้สึกว่าสามารถใช้ผลิตภัณฑ์ส่งข้อความได้อย่างปลอดภัยเพื่อวัตถุประสงค์ที่ถูกกฎหมาย
ถ้าไม่มีแรงกดดันในระดับภูมิภาค ก็เท่ากับยก การทำให้การเข้ารหัสเป็นเชิงพาณิชย์ ให้สหรัฐฯ ไป วงการวิชาการคงยังชอบอัลกอริทึมใหม่ ๆ ต่อไป แต่จนกว่าจะมีใครทำเงินจากมันได้ มันก็จะค้างอยู่ในบทความวิชาการ และสุดท้ายก็เหลือแค่รอให้นักพัฒนาสหรัฐฯ หัวก้าวหน้าสักคนเอาไปทำเป็นแอปแชตเข้ารหัสรายใหญ่ตัวถัดไปที่ปลอดภัยกว่า Signal
ดีมาก จะไม่เอ่ยชื่อก็แล้วกัน แต่ ISP บางรายตอนนี้คงไม่ค่อยแฮปปี้เท่าไร คำตัดสินนี้เบรก โมเดลพร็อกซี บางแบบได้ตรงจุด
สะใจจริง ๆ
บทความนี้ห่วยไปครึ่งหนึ่ง ต่อให้ไม่นับจุดยืนทางการเมือง งานเขียนก็แย่และมีอคติ
อ่านคำพิพากษาเองดีกว่า
https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...
CASE OF PODCHASOV v. RUSSIA
Application no. 33696/19
ตัวคำพิพากษาจริงก็อ่านได้ค่อนข้างดี และลองไล่อ่านคร่าว ๆ แล้วดูเหมือนเนื้อหาในบทความจะตรงกันโดยรวม
เขาเป็นผู้ใช้ Telegram ซึ่งรัสเซียกำหนดให้เป็น “ผู้จัดการสื่อสารทางอินเทอร์เน็ต” และตามกฎหมาย Telegram ต้องเก็บข้อมูลการสื่อสารทั้งหมดไว้ 1 ปี เก็บเนื้อหาการสื่อสารไว้ 6 เดือน และในสถานการณ์ที่กฎหมายกำหนด ต้องส่งข้อมูลดังกล่าวรวมถึงข้อมูลที่จำเป็นต่อการถอดรหัสข้อความอิเล็กทรอนิกส์ที่เข้ารหัสให้แก่หน่วยงานบังคับใช้กฎหมายหรือหน่วยงานความมั่นคง
Podchasov โต้แย้งเรื่องข้อกำหนดให้เก็บ ส่งต่อ และถอดรหัสข้อมูล รวมถึงการไม่มีช่องทางเยียวยาที่มีประสิทธิผล โดยอ้างอิงมาตรา 8 และมาตรา 13 ของ ECHR และศาลรับรองว่ามี การละเมิดมาตรา 8 ส่วนความเสียหายที่ไม่ใช่ตัวเงิน ศาลเห็นว่าการรับรองว่ามีการละเมิดนั้นเองเป็นการชดเชยอย่างเป็นธรรมเพียงพอแล้ว
ลิงก์แหล่งที่มาเสียอยู่: https://hudoc.echr.coe.int/eng-press/#{%22fulltext%22:[%2233...
เว็บไซต์นี้แย่มาก เพราะทำให้การทำลิงก์ถาวรแทบเป็นไปไม่ได้ เป็นการออกแบบที่แย่มากสำหรับองค์กรที่ตัดสินคดีสำคัญซึ่งผู้คนจำเป็นต้องอ้างอิง
สำหรับคำร้องตามมาตรา 13 ศาลตัดสินด้วยคะแนน 5 ต่อ 2 ว่าไม่จำเป็นต้องพิจารณาแยกต่างหาก, เห็นด้วยคะแนน 6 ต่อ 1 ว่าการรับรองว่ามีการละเมิดนั้นเองเป็นการชดเชยที่เพียงพอสำหรับความเสียหายที่ไม่ใช่ตัวเงิน, และปฏิเสธคำขอชดเชยอย่างเป็นธรรมของผู้ยื่นคำร้องด้วยคะแนน 6 ต่อ 1
คำพิพากษาจัดทำเป็นภาษาอังกฤษและแจ้งเป็นลายลักษณ์อักษรเมื่อวันที่ 13 กุมภาพันธ์ 2024
ศาลยังระบุว่าการเข้ารหัสปกป้องประชาชนและธุรกิจจากการใช้เทคโนโลยีสารสนเทศในทางที่ผิด เช่น การแฮ็ก การขโมยตัวตนและข้อมูลส่วนบุคคล การฉ้อโกง และการเปิดเผยข้อมูลลับอย่างไม่เหมาะสม ดังนั้นเมื่อประเมินมาตรการที่อาจทำให้การเข้ารหัสอ่อนแอลง ต้องคำนึงถึงสิ่งนี้อย่างเพียงพอ
การถอดรหัสการสื่อสารที่เข้ารหัสแบบปลายทางถึงปลายทาง เช่น Telegram “secret chats” ดูเหมือนจะต้องทำให้การเข้ารหัสของผู้ใช้ทุกคนอ่อนแอลง และศาลเห็นว่ามาตรการเช่นนี้ไม่สามารถจำกัดไว้เฉพาะบุคคลบางรายได้ จึงกระทบผู้ที่ไม่ได้เป็นภัยต่อผลประโยชน์อันชอบธรรมของรัฐอย่างไม่เลือกหน้า
ศาลตัดสินว่าการสร้างแบ็กดอร์จะทำให้การเฝ้าระวังการสื่อสารอิเล็กทรอนิกส์ส่วนบุคคลเป็นกิจวัตร ทั่วไป และไม่เลือกหน้า เป็นไปได้ในทางเทคนิค และองค์กรอาชญากรรมก็อาจนำไปใช้ในทางมิชอบได้ ซึ่งบ่อนทำลายความปลอดภัยของการสื่อสารอิเล็กทรอนิกส์ของผู้ใช้ทุกคนอย่างร้ายแรง
ศาลยอมรับว่าอาชญากรก็อาจใช้การเข้ารหัสได้ ทำให้การสืบสวนยากขึ้น แต่ก็รับฟังข้อเรียกร้องว่าควรมองหาทางเลือกในการถอดรหัสที่ไม่ทำให้กลไกคุ้มครองอ่อนแอลง และใช้วิธีสืบสวนอื่น ๆ
โดยสรุป ในคดีนี้ ภาระหน้าที่ให้ถอดรหัสการสื่อสารที่เข้ารหัสแบบปลายทางถึงปลายทางมีความเสี่ยงที่จะบังคับให้ผู้ให้บริการทำให้กลไกการเข้ารหัสของผู้ใช้ทุกคนอ่อนแอลง จึงไม่เป็นสัดส่วนกับวัตถุประสงค์อันชอบธรรม และกฎหมายที่เป็นปัญหาไม่อาจถือว่าจำเป็นในสังคมประชาธิปไตย จึงเป็น การละเมิดมาตรา 8
ข่าวยอดเยี่ยม
ศาลสิทธิมนุษยชนยุโรปนี่แหละคือศาลที่รัฐบาลโง่ ๆ ของสหราชอาณาจักรกำลังพยายามโจมตีแบบเหมารวมในทำนองเดียวกับ EU