Η Ελβετία επαναξιολογεί την προστασία της ιδιωτικότητας – Ζητήματα για Proton, VPNs και κρυπτογράφηση

Η Ελβετία, παραδοσιακά «ασφαλές λιμάνι» για υπηρεσίες ιδιωτικότητας, εξετάζει αναθεώρηση του κανονισμού παρακολούθησης επικοινωνιών VÜPF/OSCPT, που επεκτείνει δραστικά τις υποχρεώσεις παρακολούθησης από τηλεπικοινωνιακούς παρόχους σε πλατφόρμες όπως κρυπτογραφημένα email, VPNs και εφαρμογές μηνυμάτων. Σύμφωνα με ρεπορτάζ, η κυβέρνηση προτείνει υποχρεωτική συλλογή επίσημης ταυτοποίησης για υπηρεσίες με πάνω από 5.000 χρήστες, έξι μήνες υποχρεωτική διατήρηση μεταδεδομένων (IP, στοιχεία συσκευών/θύρες, στοιχεία επικοινωνίας) και, όπου ο πάροχος κατέχει κλειδιά, δυνατότητα αποκρυπτογράφησης κατόπιν εντολής. Η πρόταση βρίσκεται σε δημόσια διαβούλευση. 

Η Proton αντέδρασε έντονα, μεταφέροντας ήδη τμήματα υποδομής εκτός Ελβετίας (Γερμανία, Νορβηγία) επικαλούμενη νομική αβεβαιότητα. Η εταιρεία υποστηρίζει ότι η υποχρεωτική ταυτοποίηση και η διατήρηση μεταδεδομένων υπονομεύουν την ανωνυμία και την end-to-end κρυπτογράφηση (κρυπτογράφηση άκρου-σε-άκρο). Αντιδράσεις εκφράζουν και άλλοι πάροχοι/οργανισμοί (Nym, Threema).

Παρότι η συζήτηση πολώνεται, χαρακτηριστική η δημόσια αντιπαράθεση Proton-Infomaniak, η ουσία παραμένει: το σχέδιο επεκτείνει στις ιδιωτικές, over-the-top υπηρεσίες υποχρεώσεις που μέχρι τώρα ίσχυαν κυρίως για ISPs/κινητή τηλεφωνία. Ακόμη και όσοι τάσσονται υπέρ «ρύθμισης με διαφάνεια» αναγνωρίζουν ότι η γενικευμένη συλλογή μεταδεδομένων εκθέτει πρότυπα συμπεριφοράς και ταυτότητας, ακόμη κι αν το περιεχόμενο μένει κρυπτογραφημένο. 

Τι αλλάζει σε σχέση με την Ευρώπη και τις ΗΠΑ

Στην Ε.Ε., η γενικευμένη υποχρεωτική διατήρηση δεδομένων έχει κατ’ επανάληψη κριθεί ασύμβατη με τα θεμελιώδη δικαιώματα από το ΔΕΕ (Digital Rights Ireland 2014· Tele2/Watson 2016· SpaceNet/Telekom 2022). Επιτρέπεται μόνο στοχευμένη διατήρηση με αυστηρές εγγυήσεις (αναλογικότητα, δικαστικός έλεγχος). Η Γερμανία, λ.χ., έχει δει επανειλημμένες ακυρώσεις γενικευμένων σχημάτων «data retention». 

Παράλληλα, η υπό διαπραγμάτευση πρόταση της Ε.Ε. για καταπολέμηση CSAM - γνωστή ως Chat Control - δέχεται σφοδρή κριτική επειδή προκρίνει σάρωση ιδιωτικών (ακόμη και κρυπτογραφημένων) επικοινωνιών πριν σταλούν (client-side scanning). Το μέτρο, όπως έχει παρουσιαστεί, αμφισβητείται για συμβατότητα με το δίκαιο της Ε.Ε. και την ασφάλεια της κρυπτογράφησης· η τελική μορφή παραμένει αβέβαιη. 

Στις ΗΠΑ, ο CLOUD Act (2018) επιτρέπει στις αρχές να απαιτούν δεδομένα από παρόχους με έδρα τις ΗΠΑ, ανεξαρτήτως τοποθεσίας αποθήκευσης, και προβλέπει διακρατικές συμφωνίες για ταχύτερη πρόσβαση σε ηλεκτρονικά στοιχεία, με ρήτρες προστασίας ιδιωτικότητας· δεν επιβάλλει όμως καθολική ταυτοποίηση ή γενικευμένη διατήρηση μεταδεδομένων για ιδιωτικούς παρόχους email/VPN. 

Πιθανές επιπτώσεις για την ελβετική «ιδιωτικότητα»

Αν η Ελβετία υιοθετήσει το VÜPF/OSCPT όπως προτείνεται, θα αποκλίνει από την ευρωπαϊκή νομολογιακή γραμμή που απορρίπτει τη γενικευμένη διατήρηση, φέρνοντάς την πιο κοντά σε μοντέλα διευρυμένης επιτήρησης. Κίνδυνοι: αποεπένδυση από παρόχους που έχουν χτίσει φήμη πάνω στην ανωνυμία/Ε2Ε κρυπτογράφηση, μεταφορά υποδομών εκτός χώρας, και διάβρωση εμπιστοσύνης χρηστών, ιδίως δημοσιογράφων, δικηγόρων, ακτιβιστών. Ταυτόχρονα, οι αρχές υποστηρίζουν ότι οι ρυθμίσεις στοχεύουν σε επιτάχυνση ερευνών και αντιμετώπιση σοβαρού εγκλήματος. 

Το πολιτικό στίγμα δεν είναι μονολιθικό: εσωτερικά, καταγράφονται ενστάσεις από καντόνια και φορείς της αγοράς για αναλογικότητα και δικαστικές εγγυήσεις, ενώ διεθνώς η υπόθεση παρακολουθείται στενά καθώς η Ελβετία έχει συμβολική βαρύτητα ως πρότυπο φιλο-ιδιωτικότητας. 

Το διακύβευμα

Η ταυτοποίηση χρήστη (ID-vérification) σε ευρεία κλίμακα και η υποχρεωτική διατήρηση μεταδεδομένων αλλάζουν το κοινωνικό συμβόλαιο μεταξύ πολιτών και ψηφιακών υπηρεσιών. Ακόμη κι αν το περιεχόμενο μένει κρυπτογραφημένο, τα μεταδεδομένα αποκαλύπτουν «ποιος μίλησε με ποιον, πότε και από πού», πληροφορία επαρκής για προφίλ και σχέσεις. Η Ελβετία καλείται να αποφασίσει αν θα διατηρήσει τον ρόλο της ως ουδέτερου εγγυητή ιδιωτικότητας ή θα ευθυγραμμιστεί με πιο παρεμβατικές προσεγγίσεις επιβολής νόμου.