Rozbor rizik a dopadů nařízení CSAR na informační bezpečnost a soukromí
Návrh nařízení Evropské unie o prevenci a boji proti sexuálnímu zneužívání dětí online (CSAR), ve veřejné debatě označovaný jako „Chat Control“, představuje jeden z nejzásadnějších střetů mezi ochranou dětí, důvěrností komunikace a architekturou digitální bezpečnosti v Evropě. Ochrana dětí před sexuálním násilím je legitimním a mimořádně silným cílem obecného zájmu. Právě proto však musí být zvolené prostředky nejen politicky přesvědčivé, ale i technicky bezpečné, právně předvídatelné a ústavně přiměřené. To je bod, ve kterém se dosavadní návrhy a varianty CSAR dostávají do vážného napětí s GDPR, ePrivacy rámcem, judikaturou Soudního dvora EU i s novější evropskou regulací umělé inteligence.
Nejde přitom jen o klasický spor „soukromí versus bezpečnost“. Ve skutečnosti jde o konflikt dvou regulatorních logik. Na jedné straně EU v GDPR, NIS2 a Cyber Resilience Act systematicky prosazuje principy privacy by design, security by design, minimalizaci zásahů a posilování důvěrnosti systémů. Na straně druhé by široce pojaté detekční povinnosti v soukromé komunikaci mohly vytvářet tlak na zavádění mechanismů, které důvěrnost a integritu komunikační infrastruktury oslabují. Z pohledu informační bezpečnosti je to strukturální paradox: právo, které deklaruje ochranu společnosti, může současně oslabovat technické prostředky, jež společnost chrání.
1. Legislativní stav: nejde o hotové právo, ale o mimořádně rizikový směr
Evropská komise předložila návrh CSAR v květnu 2022. EDPB a EDPS již v roce 2022 upozornily, že návrh vyvolává závažné obavy z hlediska proporcionality zásahu do soukromí a ochrany osobních údajů, zejména u detekce neznámého obsahu a groomingu v interpersonálních komunikačních službách. V listopadu 2025 přijala Rada EU svou pozici a počítá mimo jiné s trvalejším rámcem pro dobrovolné skenování služeb a se zřízením EU Centre on Child Sexual Abuse. V březnu 2026 pak Evropský parlament podpořil prodloužení dočasné derogace z ePrivacy rámce do 3. srpna 2027, avšak pouze s důrazem na proporcionalitu, cílenost a bez aplikace na end-to-end šifrovanou komunikaci.
Z právního hlediska je proto nezbytné rozlišovat mezi legitimním cílem ochrany dětí a konkrétními technickými a procesními nástroji, jimiž má být tohoto cíle dosaženo. Kritika CSAR není kritikou ochrany dětí; je kritikou regulatorního modelu, který může vést k plošnému zásahu do komunikačního soukromí, k oslabení šifrování a k normalizaci permanentního monitoringu soukromé sféry. Tento rozdíl je zásadní i pro veřejnou debatu, protože jinak dochází k falešnému dilematu: buď skenování všech, nebo ochrana nikoho. Takto ale evropské právo proporcionalitu nezná.
2. Důvěrnost komunikace není „feature“, ale bezpečnostní vrstva
End-to-end šifrování není marketingový doplněk komunikační služby. Je to základní bezpečnostní mechanismus chránící běžné občany, advokáty, novináře, firmy, nemocnice, veřejnou správu i kritickou infrastrukturu před zločinem, špionáží a neoprávněným přístupem. Jakmile právní úprava začne fakticky vytvářet tlak na systematické obcházení důvěrnosti komunikace, nejde už jen o zásah do soukromí, ale o zásah do kybernetické odolnosti digitálního prostředí jako celku. Tento závěr dlouhodobě podporuje i ENISA, podle níž backdoors a key escrow nejsou řešením a samotná existence takových mechanismů vystavuje legitimní uživatele zvýšenému riziku.
Z technického hlediska existují v zásadě dvě hlavní cesty, jak by bylo možné detekci v šifrované komunikaci realizovat: client-side scanning a oslabení kryptografie prostřednictvím backdoors či key escrow. Obě varianty jsou problematické. Client-side scanning posouvá kontrolu z komunikační sítě přímo do zařízení uživatele a mění koncové zařízení z bezpečnostní hranice na nástroj předběžné inspekce obsahu. Backdoors a key escrow zase vytvářejí privilegované přístupové body, které se stávají cílem pro útočníky, státní aktéry i insider threat. V obou případech vzniká nová útočná plocha. Rozdíl je jen v místě, nikoli v principu oslabení.
Právě zde se ukazuje bezpečnostní paradox CSAR: nástroj navržený k potlačení jednoho typu závažné kriminality může oslabit obecnou obranu proti dalším kategoriím útoků. To je v přímém napětí s evropským trendem směrem k secure-by-design regulaci. NIS2 staví na povinnosti řídit kybernetická rizika a chránit síťové a informační systémy v širokém „all-hazards“ režimu; CRA zase výslovně vyžaduje, aby produkty s digitálními prvky byly navrhovány, vyvíjeny a udržovány s ohledem na kybernetickou bezpečnost v celém životním cyklu. Legislativa tedy v jiných oblastech správně tlačí na vyšší integritu systémů, zatímco debata o Chat Control implicitně otevírá prostor pro zabudované mechanismy oslabení důvěrnosti.
3. Kolize s GDPR, ePrivacy a Listinou základních práv EU
Největší právní problém nespočívá jen v otázce právního titulu, ale v povaze zásahu. GDPR stojí na zásadách zákonnosti, korektnosti, transparentnosti, minimalizace údajů, omezení účelu a integrity a důvěrnosti. U modelu, který k nalezení malého množství nezákonného obsahu předpokládá předběžnou analýzu masivního objemu legitimní komunikace, vzniká zásadní problém s proporcionalitou a minimalizací. EDPB a EDPS v roce 2022 výslovně uvedly, že návrh CSAR vyvolává vážné obavy ohledně proporcionality zásahu do práv na soukromí a ochranu osobních údajů, a u detekce neznámého CSAM a groomingu v interpersonálních službách dospěly k závěru, že vzhledem k intruzivitě, probabilistické povaze a chybovosti tyto zásahy přesahují meze toho, co je nezbytné a přiměřené.
Další vrstvu představuje ePrivacy a judikatura Soudního dvora EU. SDEU opakovaně zdůraznil, že unijní právo nepřipouští obecné a nerozlišující uchovávání komunikačních dat; přípustná jsou jen cílená, přísně omezená a objektivně odůvodněná opatření, navíc se silnými procesními zárukami a předchozím nezávislým přezkumem. Ačkoli data retention a content scanning nejsou totéž, základní ústavní logika je velmi podobná: čím plošnější, preventivnější a méně individualizovaný zásah do komunikace, tím obtížněji obstojí test nezbytnosti a proporcionality podle čl. 7, 8 a 52 odst. 1 Listiny.
Proto je přesnější mluvit nikoli o „legislativní schizofrenii“, ale o normativní tenzi uvnitř evropského digitálního práva. EDPB ostatně v prosinci 2024 znovu zdůraznil potřebu soudržnosti digitální legislativy s GDPR. Chat Control je z tohoto pohledu lakmusovým papírkem: ukazuje, zda EU bere vlastní doktrínu ochrany základních práv vážně i tehdy, když je vystavena silnému bezpečnostnímu tlaku.
4. AI vrstva: falešná pozitivita, sekundární viktimizace a zásah do práv
V praxi nelze očekávat, že by detekce neznámého obsahu, groomingových vzorců či rizikových interakcí fungovala bez AI nebo jiných statistických modelů. A právě zde vzniká další regulační problém. EDPB v prosinci 2024 připomněl, že zpracování osobních údajů v kontextu AI modelů může spadat do působnosti čl. 22 GDPR a vyvolávat dodatečné povinnosti a záruky pro subjekty údajů. To je důležité zejména tehdy, pokud výstup systému vede k blokaci účtu, eskalaci případu k lidskému operátorovi, předání hlášení orgánům nebo k jinému rozhodnutí s významným dopadem na jednotlivce.
Falešná pozitivita zde není marginální technický nedostatek, ale systémový právní a bezpečnostní problém. Chybná detekce může vést k neoprávněnému otevření intimního obsahu, k zásahu do profesní důvěrnosti, k reputačnímu poškození a v extrémních případech k sekundární viktimizaci. Zvlášť citlivé jsou situace, kdy systém zachytí zdravotnickou dokumentaci, rodinné fotografie, komunikaci mezi nezletilými, materiály určené orgánům sociálně-právní ochrany, nebo komunikaci mezi klientem a advokátem. Jakmile je soukromý obsah jednou vyňat z chráněného šifrovaného prostoru a zpřístupněn k verifikaci, vzniká nové riziko úniku, neoprávněného kopírování či zneužití. EDPB zároveň upozorňuje, že AI systémy mohou ohrožovat nejen soukromí a ochranu dat, ale také svobodu projevu, vyvolávat efekt dohledu a vést k autocenzuře.
AI Act do této debaty nevnáší jednoduchý zákaz, ale zvyšuje regulační nároky na správu rizik. Nařízení o AI vstoupilo v účinnost 1. srpna 2024; zákaz některých nepřijatelných praktik a povinnosti AI literacy se použijí od 2. února 2025 a plná použitelnost většiny režimu nastane od 2. srpna 2026. U vysoce rizikových AI systémů AI Act pracuje s požadavky na řízení rizik, kvalitu dat, dokumentaci, trasovatelnost, lidský dohled, robustnost, přesnost a kybernetickou bezpečnost. U nasazení veřejnými orgány nebo poskytovateli veřejných služeb navíc může vznikat povinnost provést fundamental rights impact assessment, často souběžně s DPIA podle GDPR. To je pro debatu o Chat Control podstatné: čím více se detekce opře o AI v citlivém veřejnoprávním kontextu, tím méně je udržitelná představa, že jde o „neutrální technický filtr“ bez významných dopadů do základních práv.
5. Rizika pro státní správu, podniky a kritické služby
Dopady případného oslabení důvěrnosti komunikace nelze redukovat na soukromé chatování běžných uživatelů. Evropské digitální prostředí je protkáno komunikací, která má vysokou bezpečnostní, právní nebo ekonomickou citlivost: veřejná správa, nemocnice, školy, výzkum, energetika, bankovnictví, obranný průmysl, advokacie, investigativní žurnalistika i krizové řízení. Pokud by právní rámec dlouhodobě normalizoval vestavěné skenování nebo architektonické oslabení šifrování, nevzniká jen problém ochrany osobních údajů, ale i problém obchodního tajemství, služebního tajemství, profesní mlčenlivosti a odolnosti proti špionáži. To je přesně ten typ externality, který bývá v politické debatě podhodnocen.
Z hlediska veřejného sektoru by navíc paralelně narůstala regulatorní a procesní zátěž. Pokud by se v řetězci detekce uplatnily AI nástroje nebo rozhodovací podpory, bylo by nutné řešit nejen zákonnost zpracování a DPIA dle GDPR, ale u některých případů i dopady podle AI Act. Současně by organizace nesly povinnosti kybernetického risk managementu podle NIS2 a bezpečnostní lifecycle požadavky dle CRA. Jinými slovy: tentýž subjekt by jedním právním předpisem mohl být tlačen ke zvyšování bezpečnosti a minimalizaci zásahů, a druhým k zavádění invazivních detekčních mechanismů, které bezpečnostní povrch systému rozšiřují. To je regulatorně i prakticky neudržitelné.
6. Tržní a geopolitické dopady: bezpečnější nebo oslabenější Evropa?
Dalším podceňovaným aspektem je tržní a geopolitický efekt. Historická i současná zkušenost ukazuje, že vysoce motivovaní pachatelé rychle migrují k alternativním nástrojům, vlastním serverům, šifrovacím vrstvám nebo decentralizovaným řešením. ENISA v souvislosti s backdoors výslovně upozornila, že takový přístup problém neřeší, protože pachatelé mohou používat vlastní kryptografické nástroje, zatímco riziko nese především legitimní uživatel. Výsledkem proto může být situace, kdy regulace snižuje bezpečnost mainstreamového prostředí, ale motivovaným pachatelům nezabraňuje přesunout se mimo jeho dosah.
Pro evropský trh to znamená dvojí riziko. Za prvé hrozí odchod bezpečnostně orientovaných služeb nebo omezení jejich funkcionalit v EU. Za druhé se zvyšuje závislost uživatelů na méně transparentních, jurisdikčně vzdálenějších nebo technicky méně bezpečných alternativách. Namísto posílení digitální suverenity tak může Evropa vyrobit přesný opak: oslabení důvěry v evropské regulační prostředí a odliv k řešením, nad nimiž bude mít ještě menší kontrolu. Tento efekt je z hlediska strategické autonomie EU mimořádně problematický.
7. Závěr
Z odborného hlediska není hlavní slabinou Chat Control to, že „jde příliš daleko“ v politickém smyslu. Hlavní slabinou je, že v některých svých variantách a implementačních představách převrací architektonický model digitální důvěry: místo aby komunikace byla standardně důvěrná a zásah byl výjimečný, cílený a soudně kontrolovaný, vzniká model, v němž je preventivní strojová inspekce soukromé komunikace považována za normální. To je v hlubokém napětí s GDPR, s požadavky Listiny, s judikaturou SDEU i s obecným směrem evropského kyberbezpečnostního práva.
Jinými slovy: ochrana dětí je povinností státu i soukromých aktérů, ale neměla by být vykoupena systematickým oslabením důvěrnosti, bezpečnosti a právní předvídatelnosti digitální komunikace.
U CSAR proto nejde jen o boj s jedním druhem kriminality; jde o otázku, zda Evropa zachová model digitální společnosti založený na důvěře, nebo zda si do její infrastruktury zabuduje dohled jako nový standard.
Michal Merta
Odborník na ochranu osobních údajů a kybernetickou bezpečnost