Γράφει o Στέργιος Κωνσταντίνου*
1. Εισαγωγή
Η Ευρωπαϊκή Επιτροπή, στις 11 Μαΐου 2022, παρουσίασε την πρόταση Κανονισμού για την πρόληψη και καταπολέμηση της σεξουαλικής κακοποίησης παιδιών (Regulation to Prevent and Combat Child Sexual Abuse – CSA Regulation), με αριθμό αναφοράς 2022/0155(COD). Η πρόταση αποσκοπεί στη δημιουργία ενός υποχρεωτικού ενωσιακού πλαισίου για την ανίχνευση, αναφορά και αφαίρεση υλικού σεξουαλικής κακοποίησης παιδιών (CSAM) από διαδικτυακές υπηρεσίες επικοινωνίας.
Η ανάγκη προστασίας των παιδιών είναι αυτονόητη και θεμιτή. Ωστόσο, η προτεινόμενη λύση εγείρει σοβαρά νομικά και τεχνικά ζητήματα, που σχετίζονται με τον σεβασμό των θεμελιωδών δικαιωμάτων, την κυβερνοασφάλεια και τη νομολογιακή παράδοση της Ευρωπαϊκής Ένωσης.
2. Ιστορικό -Τρέχουσα Νομοθετική Κατάσταση
Η πορεία προς τον προτεινόμενο Κανονισμό για την πρόληψη και καταπολέμηση της σεξουαλικής κακοποίησης παιδιών ξεκίνησε με τη Στρατηγική της ΕΕ (2020-2025), που έθεσε τα θεμέλια για μόνιμο νομοθετικό πλαίσιο. Ακολούθησε το μεταβατικό καθεστώς της «προσωρινής παρέκκλισης» (Chat Control 1.0) [1], η οποία επιτρέπει μέχρι το 2026 στους παρόχους να συνεχίσουν εθελοντικές πρακτικές ανίχνευσης.
Στις 11 Μαΐου 2022, η Επιτροπή παρουσίασε την κύρια πρόταση κανονισμού (2022/0155 COD), εισάγοντας την υποχρέωση εντοπισμού και αναφοράς CSAM και grooming. Η πρόταση προκάλεσε έντονες αντιδράσεις: ο Ευρωπαϊος Επόπτης για την Προστασία Δεδομένων (εφεξής «EDPS» ή «ΕΕΠΔ») και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (εφεξής «ΕΣΠΔ» ή «EDPB») προειδοποίησαν για παραβίαση θεμελιωδών δικαιωμάτων, ενώ δημοσιογραφικές έρευνες και παρεμβάσεις οργανώσεων πολιτών ανέδειξαν ζητήματα διαφάνειας και συγκρούσεων συμφερόντων [2].
Το Ευρωπαϊκό Κοινοβούλιο υιοθέτησε τον Νοέμβριο 2023 τη θέση του [3], εισάγοντας κρίσιμες τροποποιήσεις: εξαίρεση της end-to-end κρυπτογράφησης, περιορισμό των εντολών ανίχνευσης (εξηγείται κατωτέρω) σε περιπτώσεις συγκεκριμένης υποψίας και ενίσχυση δικλείδων ασφαλείας. Αντίθετα, στο Συμβούλιο της Ε.Ε., οι διαδοχικές προεδρίες (Βέλγιο, Ουγγαρία, Πολωνία) απέτυχαν να εξασφαλίσουν συναίνεση, καθώς ισχυρή «μειοψηφία αποκλεισμού» κρατών-μελών (Γερμανία, Λουξεμβούργο, Αυστρία, Ολλανδία κ.ά.) αντιτάχθηκε στη γενικευμένη σάρωση. Η Δανική Προεδρία (2025) επιχειρεί εκ νέου συμβιβασμό, με ψηφοφορία να αναμένεται τον Οκτώβριο 2025.
Παράλληλα, εξελίξεις όπως η προτεινόμενη αναθεώρηση της Οδηγίας 2011/93/ΕΕ και νομολογιακές κρίσεις (π.χ. του ΕΔΔΑ το 2024, που απέρριψε την υποχρέωση υποβάθμισης της κρυπτογράφησης) διαμορφώνουν το περιβάλλον της συζήτησης. Η Ελλάδα παραμένει επισήμως αναποφάσιστη, γεγονός που αναδεικνύει την ανάγκη διαφάνειας και δημόσιας λογοδοσίας.
3. Εντολές ανίχνευσης (Detection Orders) – Τι είναι και ποια η διαδικασία
3.1. Τι είναι η εντολή ανίχνευσης;
Η έκδοση εντολών ανίχνευσης αποτελεί το πλέον αμφιλεγόμενο στοιχείο του προτεινόμενου κανονισμού. Συγκεκριμένα, αποτελεί το νομικό εργαλείο βάσει του οποίου οι αρμόδιες αρχές μπορούν να υποχρεώσουν έναν πάροχο υπηρεσιών επικοινωνίας να εφαρμόσει τεχνολογικά μέτρα.
3.2. Ποια θα είναι η διαδικασία έκδοσής μιας εντολής ανίχνευσης;
- Αίτημα αρχής: Η αρμόδια εθνική αρχή (δικαστική ή ανεξάρτητη διοικητική αρχή) διαπιστώνει ότι ένας πάροχος ενέχει σοβαρό κίνδυνο να χρησιμοποιείται για διάδοση CSAM και ότι τα γενικά μέτρα συμμόρφωσης δεν επαρκούν.
- Έκδοση εντολής: Η εντολή ανίχνευσης καθορίζει το εύρος (τύπος περιεχομένου: γνωστό CSAM, νέο CSAM ή grooming [4]), τη διάρκεια (περιορισμένη χρονικά), και τα μέτρα που πρέπει να ληφθούν.
- Εφαρμογή από τον πάροχο: Ο πάροχος υποχρεούται να εγκαταστήσει τα σχετικά εργαλεία σάρωσης, τα οποία ενδέχεται να λειτουργούν ακόμη και σε end-to-end κρυπτογραφημένες υπηρεσίες μέσω τεχνολογιών όπως το client-side scanning.
- Αναφορά: Ο πάροχος πρέπει να αναφέρει στις αρχές τυχόν ευρήματα. Εν προκειμένω ωστόσο δεν υπάρχει σαφές πλαίσιο με τις υποχρεώσεις ενεργειών των παρόχων όταν δεν θα υπάρχουν ευρήματα
- Έλεγχος & εποπτεία: Θεωρητικά η εντολή υπόκειται σε δικαστικό ή διοικητικό έλεγχο για να διασφαλίζεται η νομιμότητα και η αναλογικότητα.
3.3. Περιορισμοί
Περιορισμοί στην διαδικασία, πολλοί εκ των οποίων τέθηκαν από το Ευρωπαϊκό Κοινοβούλιο, περιλαμβάνουν:
Αρχή της Εσχάτης Εκδοχής: Σύμφωνα με την Ευρωπαϊκή Επιτροπή, η ανίχνευση επιβάλλεται ως μέτρο έσχατης ανάγκης στους παρόχους υπηρεσιών. Μια εντολή ανίχνευσης θα επιβάλλεται μόνο αφού διαπιστωθεί ότι η αξιολόγηση κινδύνων και τα μέτρα μετριασμού του παρόχου υπηρεσιών δεν επαρκούν για την προστασία των θεμελιωδών δικαιωμάτων των παιδιών [5].
Στοχευμένη Εφαρμογή: Η θέση του Ευρωπαϊκού Κοινοβουλίου προβλέπει ότι οι εντολές ανίχνευσης θα χρησιμοποιούνται μόνο εάν υπάρχει εύλογη υποψία ότι μεμονωμένοι χρήστες ή ομάδες συνδέονται με υλικό σεξουαλικής κακοποίησης παιδιών. Τα εντάλματα θα είναι χρονικά περιορισμένα, με τις κρυπτογραφημένες επικοινωνίες end-to-end και τα κείμενα μηνύματα να εξαιρούνται από το πεδίο εφαρμογής τους [6].
Παράνομο υλικό: Σύμφωνα με την Ευρωπαϊκή Επιτροπή, η ανίχνευση θεωρητικά θα αφορά σαφώς παράνομο περιεχόμενο, ήτοι υλικό σεξουαλικής κακοποίησης παιδιών. Η διάκριση μεταξύ γνωστού και νέου υλικού σεξουαλικής κακοποίησης παιδιών (CSAM) είναι κρίσιμη για τη νομική αξιολόγηση, καθώς η ανίχνευση νέου υλικού συνεπάγεται σημαντικά υψηλότερους κινδύνους για τα θεμελιώδη δικαιώματα λόγω των υψηλών ποσοστών λανθασμένων αποτελεσμάτων. Παράλληλα, η επισήμανση πιθανών συνομιλιών με σκοπό την παιδική σεξουαλική κακοποίηση θα βασίζεται σε ταξινομητές τεχνητής νοημοσύνης που έχουν εκπαιδευτεί σε επιβεβαιωμένες περιπτώσεις παιδικής σεξουαλικής κακοποίησης. Εντούτοις, δεν παρέχεται καμία πληροφορία ως προς τα μέτρα για την διασφάλιση των θεμελιωδών δικαιωμάτων των χρηστών
Χρονικός Περιορισμός: Σύμφωνα με την Ευρωπαϊκή Επιτροπή, οι εντολές ανίχνευσης θα είναι χρονικά περιορισμένα και θα υπόκεινται σε επανεξετάσεις. Αυτή η διαδικαστική εγγύηση αποσκοπεί στη διασφάλιση ότι τα μέτρα παραμένουν αναλογικά και αναγκαία καθ’ όλη τη διάρκεια της εφαρμογής τους.
3.4. Εποπτική Αρχή
Σύμφωνα με την Ευρωπαϊκή Επιτροπή, το προτεινόμενο «Κέντρο για την Πρόληψη και Καταπολέμηση της Σεξουαλικής Κακοποίησης Παιδιών» της Ε.Ε. θα διαδραματίσει κεντρικό ρόλο στη διαδικασία καθώς θα συνεργάζεται με αντίστοιχα κέντρα όπως των Η.Π.Α., του Καναδά, της Αυστραλίας, θα υποστηρίζει τον ιδιωτικό τομέα, παρέχοντάς του βάση δεδομένων που περιλαμβάνει δείκτες για τον εντοπισμό της σεξουαλικής κακοποίησης παιδιών στο διαδίκτυο. Ωστόσο, δεν παρέχεται καμία πληροφορία ως προς την συνεργασία του Κέντρου αυτού με τις Αρχές Προστασίας Δεδομένων των κρατών – μελών καθώς και τις εποπτικές αρχές που έχουν οριστεί για την διασφάλιση των θεμελιωδών δικαιωμάτων από τα μοντέλα AI στα κράτη μέλη, θέτοντας ζήτημα θεσμικής ισορροπίας και ελέγχου..
4. Τεχνικό σκέλος – Ανεπάρκειες και Κίνδυνοι Ασφαλείας
4.1. Υπονόμευση της Κρυπτογράφησης
Η ανίχνευση περιεχομένου σε υπηρεσίες με end-to-end κρυπτογράφηση προϋποθέτει την εφαρμογή τεχνολογιών “client-side scanning”. Αυτό δημιουργεί συστημικές τρωτότητες ασφαλείας που μπορούν να αξιοποιηθούν από εγκληματικές οργανώσεις ή εχθρικούς παράγοντες.
4.2. Τι είναι το Client-Side Scanning
Το client-side scanning (CSS) είναι η τεχνολογική μέθοδος με την οποία επιδιώκεται η υλοποίηση των εντολών ανίχνευσης σε πλατφόρμες με end-to-end κρυπτογράφηση.
Αντί η σάρωση να γίνεται στον διακομιστή, πραγματοποιείται στη συσκευή του χρήστη (π.χ. κινητό, υπολογιστής), πριν ή κατά την αποστολή ενός μηνύματος ή αρχείου. Η συσκευή συγκρίνει το περιεχόμενο με βάσεις δεδομένων «ψηφιακών αποτυπωμάτων» γνωστού CSAM. Αν υπάρξει ταυτοποίηση, αποστέλλεται ειδοποίηση στις αρχές. Στην πράξη, το CSS παρακάμπτει την κρυπτογράφηση, αφού η ανίχνευση γίνεται πριν αυτή ενεργοποιηθεί.
5. Νομική Βάση και Διαδικαστικά Ζητήματα
5.1. Νομική Βάση
Η πρόταση στηρίζεται στο Άρθρο 114 ΣΛΕΕ (εσωτερική αγορά), λειτουργώντας ως lex specialis έναντι του Digital Services Act (DSA), γεγονός που επηρεάζει το σύνολο της ευρωπαϊκής ψηφιακής νομοθεσίας. Ωστόσο, πρόκειται για νομική βάση που παραδοσιακά χρησιμοποιείται για ζητήματα αγοράς, όχι για τόσο παρεμβατικές ρυθμίσεις που επηρεάζουν θεμελιώδη δικαιώματα.
5.2. Παραβίαση Θεμελιωδών Δικαιωμάτων
5.2.1. Παραβίαση των Άρθρων 7 και 8 του ΧΘΔΕΕ
Η πρόταση εγείρει σοβαρά ερωτήματα ως προς τη συμβατότητά της με τα Άρθρα 7 (Σεβασμός της ιδιωτικής και οικογενειακής ζωής) και 8 (προστασία δεδομένων προσωπικού χαρακτήρα) του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (εφεξής «ΧΘΔΕΕ»). Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (EDPS) και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB), στην κοινή τους γνώμη 04/2022, κατέληξαν ότι η πρόταση θα μπορούσε να καταστεί η βάση για de facto γενικευμένη και διακριτική σάρωση του περιεχομένου σχεδόν όλων των τύπων ηλεκτρονικών ιδιωτικών επικοινωνιών των χρηστών των εφαρμογών [7].
5.2.2. Νομολογιακό Πλαίσιο του Δικαστηρίου της Ευρωπαϊκής Ένωσης
Το Δικαστήριο της Ευρωπαϊκής Ένωσης (εφεξής «ΔΕΕ») έχει καθιερώσει σταθερή νομολογία κατά της γενικευμένης επιτήρησης. Στις υποθέσεις Digital Rights Ireland [8] (C-293/12), Tele2 Sverige (C-203/15) και La Quadrature du Net (C-511/18, C-512/18, C-520/18), το ΔΕΕ αποφάνθηκε ότι το ενωσιακό δίκαιο αποκλείει εθνικά νομοθετικά μέτρα που προβλέπουν, ως προληπτικό μέτρο, τη γενική και διακριτική διατήρηση δεδομένων κίνησης και τοποθεσίας σχετικά με ηλεκτρονικές επικοινωνίες, για σκοπούς καταπολέμησης σοβαρού εγκλήματος [9].
5.2.3. Το Κριτήριο του Άρθρου 52(1) του Χάρτη
Πέραν της συγκεκριμένης νομολογίας περί γενικευμένης επιτήρησης, η πρόταση αντιμετωπίζει θεμελιώδες πρόβλημα σχετικά με τον έλεγχο αναλογικότητας που προβλέπει το Άρθρο 52(1) του Χάρτη, το οποίο απαιτεί κάθε περιορισμός των θεμελιωδών δικαιωμάτων να προβλέπεται από τον νόμο, να σέβεται την ουσία αυτών των δικαιωμάτων, και υπό την αρχή της αναλογικότητας, να επιβάλλεται μόνο εάν είναι αναγκαίος και ανταποκρίνεται πραγματικά σε στόχους γενικού συμφέροντος.
Η διαδικασία των εντολών ανίχνευσης, ακόμη και με τις προτεινόμενες εγγυήσεις, αδυνατεί να περάσει τον τριπλό έλεγχο της νομιμότητας, αναγκαιότητας και αναλογικότητας stricto sensu που απαιτεί το Άρθρο 52(1).
5.2.4. Παραβίαση του Άρθρου 11 του Χάρτη
Η δυνητική επίδραση “chilling effect” στην ελευθερία της έκφρασης και πληροφόρησης (Άρθρο 11 του Χάρτη) συνιστά επιπλέον προβληματική διάσταση της πρότασης, καθώς οι πολίτες ενδέχεται να αυτο-περιορίζονται στην ψηφιακή τους έκφραση υπό τον φόβο παρακολούθησης.
6. Πρακτικές Επιπτώσεις και Κοινωνικό-Οικονομικές Συνέπειες
Η υιοθέτηση του προτεινόμενου κανονισμού θα επιφέρει σοβαρές πρακτικές συνέπειες για επιχειρήσεις, πολίτες και την ευρύτερη κοινωνία:
Επιχειρηματικές Επιπτώσεις: Οι πάροχοι υπηρεσιών θα αναγκαστούν να αναδιαρθρώσουν ριζικά την αρχιτεκτονική ασφαλείας τους, με αυξημένο κόστος συμμόρφωσης που θα μεταφερθεί στους καταναλωτές. Η αβεβαιότητα ως προς την τεχνική εφαρμογή θα αποθαρρύνει επενδύσεις σε καινοτόμες τεχνολογίες ασφαλείας.
Κοινωνικές Επιπτώσεις: Η δημιουργία κλίματος καχυποψίας θα επηρεάσει δυσανάλογα ευάλωτες ομάδες που βασίζονται στην ανώνυμη επικοινωνία για την προστασία τους, συμπεριλαμβανομένων δημοσιογράφων, ακτιβιστών ανθρωπίνων δικαιωμάτων και θυμάτων ενδοοικογενειακής βίας.
Γεωπολιτικές Επιπτώσεις: Η ΕΕ θα χάσει το ηθικό πλεονέκτημα στις διεθνείς συζητήσεις περί ψηφιακών δικαιωμάτων, παρέχοντας πολύτιμα επιχειρήματα σε αυταρχικά καθεστώτα για την αιτιολόγηση των δικών τους μέτρων επιτήρησης. Παράλληλα, θα υπάρχει πλέον σε όλες τις υποδομές επικοινωνίας που διαθέτει μια τρωτότητα σε ό, τι αφορά την κρυπτογράφηση, η οποία μπορεί να οδηγήσει σε σοβαρά ζητήματα της άμυνας των κρατών – μελών.
7. Συμπεράσματα
Η προστασία των παιδιών είναι αδιαπραγμάτευτη, αλλά η επιδίωξή της δεν μπορεί να στηρίζεται σε μέτρα που παραβιάζουν τα θεμελιώδη δικαιώματα και υπονομεύουν την ψηφιακή ασφάλεια.
Παρά τις διαδικαστικές εγγυήσεις, η προτεινόμενη διαδικασία εγείρει σοβαρά ερωτήματα αναλογικότητας. Η εφαρμογή στις κρυπτογραφημένες υπηρεσίες μέσω client-side scanning καθιστά την προστασία εκ σχεδιασμού αναποτελεσματική, ενώ η γενικευμένη φύση της σάρωσης δεν ικανοποιεί το κριτήριο της στοχευμένης παρέμβασης που απαιτεί η νομολογία του ΔΕΕ. Πρακτικά, η φύση των εντολών ανίχνευσης προσιδιάζει περισσότερο σε γενικευμένη επιτήρηση, κάτι που η νομολογία του ΔΕΕ έχει απορρίψει επανειλημμένα.
Ο προτεινόμενος κανονισμός, στη σημερινή του μορφή, αδυνατεί να ικανοποιήσει τα κριτήρια αναγκαιότητας και αναλογικότητας που απαιτούνται από τη νομολογία του ΔΕΕ. Η υιοθέτησή του θα συνιστούσε παραβίαση του ουσιώδους περιεχομένου θεμελιωδών δικαιωμάτων όπως αυτών της ιδιωτικής και οικογενειακής ζωής και της προστασίας προσωπικών δεδομένων.
Παραπομπές
[1]Κανονισμός (ΕΕ) 2021/1232.του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Ιουλίου 2021, περί προσωρινής παρεκκλίσεως από ορισμένες διατάξεις της οδηγίας 2002/58/ΕΚ όσον αφορά τη χρήση τεχνολογιών από παρόχους υπηρεσιών διαπροσωπικών επικοινωνιών ανεξαρτήτως αριθμών για την επεξεργασία προσωπικών και άλλων δεδομένων, προς καταπολέμηση της σεξουαλικής κακοποίησης παιδιών στο διαδίκτυο
[2] ΕΣΠΔ-ΕΕΠΔ, «Κοινή γνωμοδότηση 4/2022 σχετικά με την πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τη θέσπιση κανόνων με σκοπό την πρόληψη και την καταπολέμηση της σεξουαλικής κακοποίησης παιδιών, 28/07/2022
[3] Ευρωπαϊκό Κοινοβούλιο, «ΕΚΘΕΣΗ σχετικά με την πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τη θέσπιση κανόνων με σκοπό την πρόληψη και την καταπολέμηση της σεξουαλικής κακοποίησης παιδιών», 16.11.2023 – (COM(2022)0209 – C9‑0174/2022 – 2022/0155(COD))
[4] Εσκεμμένη προσέγγιση και επικοινωνία με ανήλικο, κυρίως μέσω διαδικτυακών μέσων, με σκοπό τη χειραγώγησή του και την προετοιμασία για μελλοντική σεξουαλική κακοποίηση ή εκμετάλλευση.
[5] Ευρωπαϊκή Επιτροπή, «Συχνές ερωτήσεις», ερώτημα «Πως θα διασφαλίσει η νομοθεσία αυτή την προστασία της ιδιωτικής ζωής», προσπελάστηκε στις 15/9/2025, ώρα 13:07
[6] Ευρωπαϊκό Κοινοβούλιο, «How the EU is fighting child sexual abuse online», προσπελάστηκε στις 15/9/2025, ώρα 13:11
[7] ‘EDPB-EDPS Joint Opinion 04/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse (28 July 2022)
[8] Με την απόφαση «Digital Rights Ireland» καταργήθηκε η Οδηγία 2006/24/ΕΚ, την οποία ενσωμάτωσε ο ν. 3917/2011, ο οποίος παραμένει σε ισχύ στην Ελλάδα.
[9] ΔΕΕ, Commissioner of An Garda Síochána,C140/20, 5/4/2022.
*Ο Στέργιος Κωνσταντίνου είναι Δικηγόρος, Advanced LLM – IP & ICT Law και διαθέτει μεταξύ άλλων πιστοποιήσεις CIPP/E, CIPM, FIP