„Chat Control” to projekt rozporządzenia UE (zaproponowany przez Komisję 11 maja 2022 r.), który ustanawia ramy prawne do wykrywania, zgłaszania i usuwania materiałów przedstawiających seksualne wykorzystywanie dzieci (CSAM) w internecie. W swojej najbardziej kontrowersyjnej wersji nakładałby na komunikatory i usługi online obowiązek automatycznego skanowania tego, co użytkownicy wysyłają — tekstów, obrazów, filmów — także rozmów przeznaczonych do pozostania prywatnymi i szyfrowanych end-to-end. Technicznie rzecz biorąc, przenosi to nadzór do źródła: na samo urządzenie użytkownika, zanim szyfrowanie ochroni wiadomości („skanowanie po stronie klienta”, CSS). Organy ochrony danych i Służba Prawna Rady uznały takie podejście za problematyczne, ponieważ sprowadza się ono do uogólnionych przeszukań bez uprzedniego, indywidualnego podejrzenia.

W praktyce aplikacja komunikatora zawiera moduł, który dla każdego obrazu wylicza „odcisk” (perceptual hash) lub analizuje każdą wiadomość przed wysłaniem, a następnie porównuje wynik z bazami referencyjnymi (katalogi hashy CSAM, listy wzorców, modele uczenia maszynowego). Jeśli algorytm „uzna”, że zachodzi zgodność z treściami zakazanymi, tworzy raport i uruchamia łańcuch powiadomień do wyznaczonego centrum lub organów. Problem ma charakter zasadniczy i praktyczny: z zasady jesteś skanowany nieustannie, bez związku z konkretnym postępowaniem; w praktyce systemy te nie są ani doskonałe, ani neutralne. Badania pokazują podatności strukturalne: napastnicy mogą masowo produkować fałszywe trafienia, zatruwać zbiory hashy lub ukrywać „drugi cel” (np. ukierunkowane rozpoznawanie twarzy) w schemacie hashowania rzekomo ograniczonym do CSAM. Błędy się zdarzają i mają ludzkie konsekwencje (blokady kont, niezasadne dochodzenia). Już w 2022 r. zdarzały się przypadki, gdy Google zgłaszało ojców, którzy — na prośbę lekarza — wykonali zdjęcia medyczne swoich dzieci; konta zamknięto, a podejrzenia utrzymywały się mimo umorzenia spraw.

Sednem problemu jest tajemnica korespondencji i ochrona danych. Karta praw podstawowych UE (art. 7 i 8) oraz EKPC (art. 8) chronią prywatność i integralność komunikacji. TSUE wielokrotnie uchylał mechanizmy uogólnionej, niedyskryminującej inwigilacji — nawet w imię słusznych celów — ponieważ nie są ukierunkowane ani proporcjonalne (sprawy Digital Rights Ireland, Tele2 Sverige). Krótko: nie można „na wszelki wypadek” przesiać całej populacji. EDPB i EDPS wyraźnie ostrzegły, że projekt w obecnym brzmieniu de facto obejmie niemal całą komunikację, wywołując efekt mrożący wobec wolności wypowiedzi (dziennikarze, NGO, zawody zaufania publicznego).

Wiele przesłanek wskazuje, że nie — jeśli przewiduje się nieukierunkowane wykrywanie. Służba Prawna Rady podkreśla wpływ skanowania komunikacji interpersonalnej bez targetowania na prawa podstawowe. Parlament (komisja LIBE) w listopadzie 2023 r. opowiedział się przeciw masowemu skanowaniu i za wyraźną ochroną szyfrowania end-to-end. To nie znaczy, że skanowanie jest niemożliwe, ale musi być ściśle ukierunkowane, proporcjonalne i objęte solidnym nadzorem sądowym. Każde rozwiązanie systematycznie obchodzące szyfrowanie poprzez CSS koliduje z tymi zasadami.

Rozporządzenie to akt prawny UE (art. 288 TFUE) o charakterze ogólnym, wiążący w całości i bezpośrednio stosowany w każdym państwie członkowskim. W przeciwieństwie do dyrektywy nie wymaga transpozycji do prawa krajowego: obowiązuje w tym samym czasie i w ten sam sposób wszędzie. UE sięga po rozporządzenie, gdy chce jednolitej reguły dla całego rynku i wszystkich obywateli.

Komisja przedstawia projekt. Następnie współdecydują Parlament Europejski (wybierani europosłowie) i Rada UE (ministrowie państw członkowskich) w zwykłej procedurze ustawodawczej. W praktyce oznacza to kolejne czytania, poprawki i często „trilogi” między Komisją–Radą–Parlamentem. Jeśli Parlament i Rada nie przyjmą identycznego tekstu, akt nie wchodzi w życie. Ostateczny wynik to polityczny kompromis rządów i przedstawicieli obywateli.

Po propozycji z 2022 r. prace napotkały w 2024 r. kilka blokad politycznych. Od lipca 2025 r., pod duńską prezydencją w Radzie, sprawy znów przyspieszyły: media branżowe podają polityczny cel domknięcia porozumienia jesienią, z datą głosowania około 14 października 2025 r. i zaostrzającymi się stanowiskami we wrześniu. Nic nie jest przesądzone: stanowisko Parlamentu chroni E2EE, a w Radzie układ sił zmienia się wraz z koalicjami krajowymi; w przeszłości kilka stolic tworzyło już „mniejszości blokujące”. Kalendarz przyspiesza, a techniczne kompromisy (skanowanie „za zgodą”? ograniczenie do znanych obrazów? wyłączenie „groomingu”?) pozostają sporne.

Układ sił w Radzie zmienił się od lipca 2025 r. Pod duńską prezydencją nowy tekst — w dużej mierze inspirowany kompromisami belgijskimi i węgierskimi z 2024 r. — ponownie wprowadza obowiązkowe skanowanie (także przed szyfrowaniem) i kategoryzację ryzyka według usługi. Wyciek z posiedzenia grupy roboczej ds. organów ścigania z 11 lipca 2025 r. (netzpolitik.org) streszcza: większość państw „może żyć” z duńskim projektem, istnieje mniejszość blokująca, a kilka kluczowych niezdecydowanych (Niemcy, Francja, Belgia, Finlandia, Luksemburg, Estonia, Czechy itd.) ma duży ciężar.

Mapa z lipca 2025 r. opublikowana przez europosła Patricka Breyera pokazuje, które rządy są „za”, „przeciw/neutralne” lub „niezdecydowane”. To aktywistyczny „snapshot”, ale pomocny, by zlokalizować swój kraj.

Wyraźnie „za” 11/07 (lub pozytywnie o tekście duńskim) … Włochy, Hiszpania, Węgry, Łotwa, Litwa, Cypr, Chorwacja, Szwecja (poparcie rządu, wymagana zgoda parlamentu), Dania (autor tekstu). Francja zadeklarowała gotowość „poparcia co do zasady” (m.in. odnowienie reżimu przejściowego), co plasuje ją raczej po stronie popierających. Portugalia jest „bardzo pozytywna”, ale ma zastrzeżenia do części o szyfrowaniu.
Państwa „przeciw” (lub krytyczne w kluczowych punktach) … Polska (odrzuca obowiązkowe skanowanie i objęcie E2EE, wskazuje na ryzyka cyberbezpieczeństwa i nieważność wymuszonej „zgody”), Austria (związana twardym stanowiskiem parlamentu przeciw CSS i osłabianiu szyfrowania), Niderlandy (poważne obawy wobec „nakazów wykrywania” i CSS). Słowenia i Luksemburg wyrażają poważne wątpliwości co do proporcjonalności i CSS.
„Niezdecydowane / w przeglądzie” (lub wewnętrznie podzielone) … Niemcy (nowa koalicja wciąż rozstrzyga, historycznie przeciw skanowaniu E2EE), Belgia („trudna” polityka krajowa po kompromisie z 2024 r.), Estonia (spór bezpieczeństwo vs. ochrona danych w sprawie CSS), Finlandia (tekst „raczej problematyczny”, w przeglądzie), Czechy (okres wyborczy, stanowisko w toku), Irlandia (wita zabezpieczenia cyber, ale ostrożna), Słowacja (pozytywna co do ambicji, otwarta na kontrargumenty), Rumunia (nie ujęta w tym konkretnym odczycie). Istotne są niuanse: Służba Prawna Rady nadal uważa CSS za sprzeczne z prawami podstawowymi, co waży na niezdecydowanych.

Konkluzja: przyjęcie zależy od kilku stolic (Paryż, Berlin, Bruksela, Helsinki, Luksemburg, Praga, Dublin). Nawet wśród „popierających” parlamenty krajowe mogą narzucić bezpieczniki. Dla ogólnego obrazu patrz mapa z lipca 2025 r. (orientacyjnie).

Apple. W 2022 r. wycofał plan wykrywania CSAM w Zdjęciach iCloud (skanowanie na urządzeniu), co przyjęto z zadowoleniem w środowisku kryptografów. Od tego czasu Apple akcentuje wzmacnianie E2EE (Advanced Data Protection). To pozostaje nie do pogodzenia z uogólnionym CSS; firma stawia na bezpieczeństwo systemowe, a nie skanowanie AI na urządzeniach.

Meta / WhatsApp. Konsekwentnie: żadnych „tylnych drzwi” i żadnego skanowania narzuconego kosztem E2EE. Will Cathcart wielokrotnie podkreślał, że aplikacja nie „złamie” szyfrowania — podobne deklaracje padały przy debatach w UK/UE. Media techniczne zauważają, że CSS podważa poufność obiecywaną przez WhatsApp.

Google. Broni E2EE (m.in. w Messages/RCS) i — szerzej — hashowania po stronie serwera tam, gdzie jest to legalne i proporcjonalne, bez naruszania powszechnego E2EE. Analizy europejskie przypominają ograniczenia technologii typu PhotoDNA (skuteczna dla treści „znanych”, nie dla „nieznanych” ani groomingu), co wzmacnia argumenty przeciw CSS.

Microsoft. Od lat promuje PhotoDNA (wykrywanie przez hashe treści już znanych, nie CSS). W UE opowiada się za proporcjonalnością i narzędziami pochodzenia/śledzenia, a nie za skanowaniem w czasie rzeczywistym wszystkich zaszyfrowanych czatów. Zakres PhotoDNA ≠ CSS dla „nieznanych”.

Signal. Twarde stanowisko: woli wyjść z rynku niż osłabić E2EE. Meredith Whittaker zapowiada, że Signal nie wdroży obowiązkowego CSS ani „wyjątku” od E2EE.

Threema. Stanowczo przeciw „Chat Control”, ostrzega przed systemowym osłabieniem bezpieczeństwa przez CSS.

Element / Matrix. Ostrzega przed powrotem do masowego skanowania i szkodami dla ekosystemu open-source (serwery self-hosted, federacja), gdzie wymuszanie skanerów klient/serwer byłoby nierealistyczne i niebezpieczne.

Proton (Mail/Drive/Pass/VPN). Z zadowoleniem przyjął stanowisko PE z 2023 r. wyłączające E2EE z detekcji; uznaje CSS za technicznie i prawnie nie do obrony.

Telegram. Brak jasnego stanowiska na poziomie UE; szyfrowanie nie jest domyślne dla wszystkich czatów, co czyni go przypadkiem pośrednim.

Trend ogólny: usługi prawdziwie E2EE odrzucają obowiązkowy CSS. Wśród „Big Tech” dominuje linia ochrony E2EE i unikania uogólnionego skanowania po stronie klienta.

Gdyby wprowadzono powszechne CSS, każde urządzenie stałoby się stałym posterunkiem kontroli. Twoje wiadomości i zdjęcia byłyby filtrowane przed szyfrowaniem, a błędy mogłyby wywoływać raporty — blokady kont, odcięcie od kluczowych usług (poczta, chmura), a nawet postępowania policyjne. Udokumentowane przypadki pokazują, że takie błędy potrafią w kilka godzin zrujnować cyfrowe życie. Poza tym osłabienie ekosystemu E2EE otwiera nowe powierzchnie ataku: więcej kodu, więcej punktów dostępu, większe ryzyko. Dla zawodów chronionych (prawnicy, lekarze, dziennikarze) to bezpośrednie podważenie tajemnicy zawodowej; dla ofiar przemocy czy aktywistów — likwidacja bezpiecznych przestrzeni. W skali przemysłu zaufanie do europejskich usług cyfrowych ucierpi, jeśli UE stałaby się pierwszym demokratycznym regionem narzucającym takie masowe skanowanie.

Nie, jednostronnie nie. Po przyjęciu rozporządzenie ma pierwszeństwo przed sprzecznym prawem krajowym (zasada pierwszeństwa prawa UE) i stosuje się bezpośrednio. Państwo nie może ustanowić krajowego wyjątku bez ryzyka wszczęcia przez Komisję postępowania o naruszenie i — ostatecznie — wyroku TSUE. Przed przyjęciem Francja może wpływać na tekst w Radzie, budować koalicje, by zmienić lub zablokować; po przyjęciu — zaskarżyć do TSUE (skarga o stwierdzenie nieważności) albo — jeśli tekst pozostawia pole manewru — wdrożyć maksymalne bezpieczniki w dozwolonych ramach (silny nadzór sądowy, audyty publiczne, wyłączenie CSS itd.). Jednak frontalny krajowy zakaz obowiązku ustanowionego w rozporządzeniu byłby sprzeczny z prawem UE.

Tak. W prawie europejskim tajemnica komunikacji i poufność relacji klient–adwokat są jądrem prawa do prywatności (Karta, EKPC art. 8). ETPCz przyznaje „wzmocnioną” ochronę tajemnicy zawodowej prawników: bez poufności prawo do obrony i dziennikarstwo śledcze są iluzoryczne. Podobnie dyrektywa ePrivacy wymaga poufności łączności elektronicznej. CSS wprowadza mechanizm inspekcji wiadomości przed szyfrowaniem, co mechanicznie osłabia tę poufność — także dla zawodów chronionych. EDPB/EDPS ostrzegają, że narzucenie technologii detekcji komunikatorom może prowadzić do niemal powszechnego odławiania komunikacji z niepokojącymi wskaźnikami błędów. Innymi słowy, nawet przy „wyłączeniach na papierze” uogólniony skaner na urządzeniu trudno pogodzić z ochroną tajemnicy zawodowej w Europie.

Bo prawo podstawowe nie zależy od tego, co masz do ukrycia, lecz od władzy, jaką państwo lub firmy mogą mieć nad Twoim życiem. Prewencyjna inwigilacja wszystkich rozmywa domniemanie niewinności, chłodzi wypowiedzi i multiplikuje błędy. Technologie detekcji „znajdują” także niewinnych: fałszywe trafienia uruchamiają raporty, blokady kont, dochodzenia — ze skutkami jak najbardziej realnymi. Także z punktu widzenia skuteczności policji, zalew podejrzanych zgłoszeń odciąga zasoby od spraw prawdziwych. Europejskie organy ochrony danych wskazują, że wskaźniki błędów przy wykrywaniu treści „nowych” pozostają niepokojące. Poufność chroni też innych: ofiary przemocy, aktywistów, medyków i prawników, sygnalistów, dziennikarzy. Osłabisz jedno ogniwo — osłabisz cały łańcuch.

Cel ochrony dzieci jest wspólny dla wszystkich. Pytanie brzmi: skuteczność w realnym świecie i koszt społeczny. Analizy techniczne wskazują, że CSS dramatycznie poszerza sieć, generuje wiele fałszywych trafień i może być omijane przez zdeterminowanych sprawców (zamknięte sieci, narzędzia poza UE, techniki „adversarial ML”). Każde fałszywe trafienie zużywa czas śledczych i opóźnia prawdziwe sprawy. Istnieją bardziej celowane i skuteczne podejścia: więcej zasobów ludzkich i sądowych, ukierunkowana infiltracja i nadzór, skoncentrowana współpraca międzynarodowa, mocniejsze działania u źródła, edukacja i prewencja oraz priorytetyzacja naprawdę użytecznych zgłoszeń. Innymi słowy: stawiajmy na narzędzia skuteczne i proporcjonalne, a nie na nieukierunkowane skanowanie całej populacji.

W czerwcu 2025 r. Komisja opublikowała „mapę drogową” zapewnienia „legalnego i skutecznego dostępu do danych” dla organów ścigania. Obejmuje ona mapę technologiczną dla szyfrowania od 2026 r. i finansowanie zdolności deszyfracji do 2030 r. (np. w Europolu). Ten strategiczny kontekst utrzymuje presję polityczną na E2EE i pomaga zrozumieć pośpiech, by w krótkim terminie przyjąć taki akt jak CSAR. Warto pamiętać, że silne szyfrowanie chroni też szpitale, firmy, administrację i obywateli przed przestępczością i szpiegostwem. Osłabienie go w imię „legalnego dostępu” tworzy luki wykorzystywalne także przez napastników.

Na tym etapie rozwój i działanie w dużej mierze opierałyby się na podmiotach prywatnych: dużych firmach (Apple, Meta, Microsoft, Google) i spółkach wyspecjalizowanych (np. PhotoDNA/MS). Rodzą się trzy główne obawy. Po pierwsze, przejrzystość: modele, progi i dane treningowe to tajemnice handlowe, więc trudne do audytu. Po drugie, zależność: UE outsourcowałaby funkcję o charakterze państwowym (detekcja) podmiotom głównie spoza UE, z jednostronnymi aktualizacjami i importem uprzedzeń. Po trzecie, „pełzający cel”: gdy infrastruktura już istnieje, kuszące staje się rozszerzanie zakresu (terroryzm, „dezinformacja”, oszustwa…), jeśli nie będzie twardych i egzekwowalnych bezpieczników. Epizod Apple z 2021 r. jest pouczający: ogłosił skan CSAM na urządzeniu, po czym wycofał się po sprzeciwie kryptografów i regulatorów — właśnie z powodu ryzyka dryfu celu i trudności w zagwarantowaniu ściśle ograniczonego użycia.

Rządy i organy ochrony danych — m.in. w Niemczech, Niderlandach i gdzie indziej — zgłaszają zasadnicze zastrzeżenia: niezgodność z prawami podstawowymi, niebezpieczeństwa techniczne, nieskuteczność operacyjna (zbyt wiele alertów i fałszywych trafień). Minister sprawiedliwości Niemiec stwierdził np., że „chat control” nie ma miejsca w państwie prawa, a izba niderlandzka spowolniła wcześniejsze wersje. Krajobraz jest jednak płynny: niektóre państwa, które w 2024 r. blokowały, dziś popierają kompromisy przywracające CSS. Dlatego warto śledzić na bieżąco stanowisko własnego rządu.

Punktem odniesienia pozostaje stanowisko PE z listopada 2023 r. (LIBE + mandat negocjacyjny): brak masowej inwigilacji, wyłączenie E2EE z detekcji, środki ukierunkowane na podstawie uzasadnionego podejrzenia. Linię tę poparła szeroka większość (Greens/EFA, The Left, S&D i duża część Renew). Stoi ona w sprzeczności z uogólnionym CSS.

Po wyborach 2024 r. kadencja 2024–2029 odnowiła francuskie delegacje (RN/Patriots for Europe, LR/EPP, Renaissance–MoDem–Horizons/Renew, PS–Place Publique/S&D, LFI/The Left, Ekologiści/Greens). Na dziś większość publicznych stanowisk podąża za liniami grup:
• Greens/EFA i The Left (LFI): kategorycznie przeciw CSS i wszelkiemu osłabianiu E2EE; poparli linię LIBE 2023.
• S&D (PS/Place Publique) i Renew (Renaissance/Modem/Horizons): zasadniczo zgodni z LIBE 2023 (ochrona E2EE, podejście ukierunkowane), choć niektórzy europosłowie „otwarci” na bardzo wąskie środki dot. treści znanych, pod kontrolą sądową.
• EPP (Les Républicains): podział między orędowników „bezpieczeństwa” (za obowiązkami detekcji) a obawy „państwo prawa/techniczne” (proporcjonalność i bezpieczeństwo szyfrowania).
• Patriots for Europe / nurt ID (RN, sojusznicy): zróżnicowani w zależności od spraw bezpieczeństwo/prywatność; brak jednej francuskiej linii popierającej obowiązkowy CSS.
• ECR: generalnie za silniejszymi narzędziami dochodzeniowymi, ale nie kosztem „tylnej furtki” do E2EE (z niuansami wewnętrznymi).

Zacznij od wyjaśnienia mechanizmu bez żargonu: „Chcą zainstalować na naszych telefonach oprogramowanie, które czyta wiadomości przed zaszyfrowaniem, by porównać to, co wysyłamy, z bazami obrazów i automatycznymi modelami. Jeśli maszyna się pomyli, może nas omyłkowo zgłosić”. Potem sedno: „To nie spór o ochronę dzieci — tylko o metodę: skanowanie wszystkich, cały czas, jest nieproporcjonalne i nieskuteczne. Sprawcy się dostosują; tymczasem bezpieczeństwo i prywatność wszystkich słabnie”. Na końcu rozwiązanie: „Finansujmy ludzi i sądy, kierujmy dochodzenia, współpracujmy transgranicznie, usuwajmy treści u źródła, edukujmy i zapobiegajmy — bez łamania szyfrowania”. Krótki pitch (30 s):
„‘Chat Control’ to skaner w naszych telefonach, który czyta wiadomości przed wysłaniem. Może się mylić i piętnować niewinnych. Łamie tajemnicę wymiany (lekarze, prawnicy, dziennikarze) i tworzy luki dla atakujących. Chrońmy dzieci skutecznymi, ukierunkowanymi środkami — a nie inwigilacją 450 milionów Europejczyków.”
W dłuższej rozmowie użyj konkretnych analogii: „Czy zaakceptował(a)byś, by urzędnik otwierał wszystkie Twoje listy ‘na wszelki wypadek’?” Przypomnij, że w Europie poufność łączności i tajemnica zawodowa są prawami chronionymi — a organy ochrony danych ostrzegały przed błędami i dryfem celu. Zaproponuj jasne działanie: podpisz petycję, napisz do swoich europosłów, porozmawiaj o tym w pracy i w szkole, wybieraj komunikatory, które publicznie sprzeciwiają się obowiązkowemu CSS.