Médii v uplynulých týdnech proběhly zprávy o tom, že by Evropská komise mohla přikročit k omezování VPN služeb. Ty totiž mohou umožnit obcházení věkových limitů, o kterých se mluví v souvislosti s ochranou dětí na internetu. Komise však taková opatření v současnosti nechystá, jak vyplývá z vyjádření kanceláře komisařky Henny Virkkunen.
Mediální spekulace o možném omezení VPN služeb v EU vychází především z lednového dokumentu Výzkumné služby Evropského parlamentu (EPRS). Ten poukazuje na obcházení věkových omezení pomocí VPN v zemích, které k takovým opatřením přistoupily. Dokument se nyní dostal do hledáčku médií v souvislosti s aplikací na ověřování věku. Evropská komise usiluje o její zavedení ve členských státech ještě před koncem letošního roku.
Dokumenty EPRS však nevyjadřují oficiální stanoviska institucí EU – slouží pouze jako podklady pro práci europoslanců a dalších pracovníků Parlamentu. Nejedná se tedy o legislativní návrh.
Proti omezování VPN se staví organizace hájící soukromí internetových uživatelů. Podle Electronic Frontier Foundation, která varovala před podobnými kroky v USA, by se omezení dotkla téměř všech. VPN totiž využívají například firmy pro ochranu dat klientů a zaměstnanců, studenti pro přístup k databázím a novináři pro ochranu svých zdrojů. Organizace argumentuje, že společnosti poskytující VPN připojení by se obtížně vypořádávaly s požadavky na omezení a raději by tak svoje fungování v daném státě ukončily úplně.
Unie VPN neomezuje
Eurokomisařka pro digitální suverenitu, bezpečnost a demokracii Henna Virkkunen možné omezení VPN naznačila na tiskové konferenci dne 29. dubna. Na dotaz novináře uvedla, že Komise by měla zamezit obcházení systémů pro ověřování věku.
Virkkunen však v sérií následujících vyjádření popřela, že by Komise plánovala omezení přístupu k VPN službám. V pořadu finského deníku Kauppalehti uvedla, že mediální spekulace o omezení vychází z nedorozumění. Její kancelář pak serveru Euronews potvrdila, že nedochází k „absolutně žádným zákrokům vůči VPNs“.
Evropská komise na svých stránkách připouští, že s možností obcházení omezení například pomocí VPN počítá. Míní však, že nejde o něco, co by podkopalo hodnotu aplikace, protože mezi děti a škodlivý obsah na internetu určitou bariéru staví. „To platí i pro offline situace, kde věková omezení nejsou stoprocentně účinná, což však nesnižuje jejich význam ani oprávněnost, například v případě prodeje alkoholu nezletilým v obchodě,“ uvádí.
Experti řeší bezpečnost aplikace
Online platformy musí mít podle aktu o digitálních službách (DSA) nastavené účinné mechanismy zabraňující přístupu nezletilých ke škodlivému obsahu. V Bruselu se zároveň debatuje o plošném věkovém omezení pro používání sociálních sítí. Komise čeká na vyjádření specializovaného panelu pro bezpečnost dětí na sociálních sítích, v některých členských státech EU však konkrétní návrhy vznikají již nyní. Zároveň zaznívají stížnosti online platforem, že nemají nástroje pro ověřování věku.
Komise proto přišla s vlastní aplikací na ověřování věku. Jejím smyslem je již nyní členským státům i platformám nabídnout celoevropský standard, jak věková omezení vymáhat. Podle vyjádření předsedkyně Evropské komise Ursuly von der Leyen aplikace splňuje nejvyšší standardy ochrany osobních údajů na světě. Platformám má totiž předávat pouze potvrzení, že věk uživatele je nad určitou hranicí, stejně tak by aplikace neměla získávat žádná data o tom, jaký obsah uživatel navštěvuje.
Tvrzení o bezpečnosti však zpochybňují někteří experti na digitální technologie. Konzultant v oblasti informační bezpečnosti Paul Moore, jehož příspěvek na síti X citoval i deník Politico, demonstroval, že je možné prolomit PIN kód aplikace během 2 minut, nebo že fotografie uživatele a jeho dokladů pořízené za účelem ověření zůstávají na zařízení v nezašifrované podobě.
Pirátská europoslankyně Markéta Gregorová z frakce Zelených redakci řekla, že současné řešení aplikace na ověřování věku považuje za možné bezpečnostní riziko. „Krátce po zveřejnění testovací verze upozornili bezpečnostní experti na závažné nedostatky a ukázali, že některé ochrany bylo možné obejít během několika minut. To je ostuda zvlášť u projektu, který má pracovat s velmi citlivými údaji. U podobných systémů vždy existuje riziko úniků dat, identifikace uživatelů nebo zneužití informací o tom, jaký obsah lidé navštěvují,“ uvedla.
Nejasná komunikace Komise
Miłosz Gaczkowski, který se profiluje jako expert na zabezpečení mobilních aplikací, se však obavy z bezpečnostních vad aplikace snažil uklidnit. Ve příspěvku na síti LinkedIn poukázal například na to, že Moore prolomení PIN kódu dosáhl na modifikovaném zařízení, které mu umožnilo upravit soubory aplikace, které by běžnému uživateli nebyly přístupné. Další chyby považuje za opomenutí ze strany vývojářů, která mohou být napravena několika málo řádky kódu. K některým opravám již ostatně došlo.
Hlavní problém však vidí v komunikaci Komise, která svými nejasnými vyjádřeními může podkopávat důvěru expertů i veřejnosti v celý projekt. Tvrdila totiž, že se problémy, na které upozorňovali experti, týkaly pouze demo verze aplikace. Experti včetně Moora i Gaczkowského však oponují – podle nich šlo o verzi, kterou zástupci unijní exekutivy prezentovali jako „finální“. Komise však připustila, že aplikace může být nadále vylepšována.
Hlavní krok implementace aplikace zůstává u členských států. Ty si podle doporučení unijní exekutivy mají kód aplikace přizpůsobit podle vlastních potřeb ve spolupráci s Komisí, ostatními členskými státy, koordinátory digitálních služeb, experty na kyberbezpečnost a občanskou společností. Státy si mohou vybrat, jestli jejich verze aplikace bude samostatná, nebo bude součástí Evropské peněženky digitální identity, kterou mají státy povinnost občanům zpřístupnit do konce roku 2026.
Tento obsah byl publikován v rámci projektu Eastern Flank EU Reporting (EFER), na kterém spolupracují redakce Delfi (Litva), Delfi (Lotyšsko), Espress (Rumunsko), EUBrief (Slovensko), Faktabaari (Finsko), Focus Europe Poland (Polsko), Napunk (Slovensko), Pro News Bulgaria (Bulharsko) a Update EU (Česko). Projektový obsah naleznete také na webu EastFlank.eu. Více informací najdete zde.
