KOMISJA EUROPEJSKA

Bruksela, dnia 19.12.2023

COM(2023) 797 final

SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY

dotyczące wykonania rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/1232 z dnia 14 lipca 2021 r. w sprawie tymczasowego odstępstwa od niektórych przepisów dyrektywy 2002/58/WE w odniesieniu do wykorzystywania technologii przez dostawców usług łączności interpersonalnej niewykorzystujących numerów do przetwarzania danych osobowych i innych danych do celów zwalczania niegodziwego traktowania dzieci w celach seksualnych w internecie

SPIS TREŚCI

WYKAZ TERMINÓW I AKRONIMÓW    

1.    WPROWADZENIE    

2.    ŚRODKI WYKONAWCZE    

2.1.    Przetwarzanie danych osobowych przez dostawców [art. 3 lit. g) pkt (vii)]    

2.1.1.    Rodzaj i ilość przetwarzanych danych    

2.1.2. Podstawy przetwarzania zgodnie z rozporządzeniem (UE) 2016/679    

2.1.3.    Podstawa przekazywania danych osobowych poza Unię zgodnie z rozdziałem V RODO, w stosownych przypadkach    

2.1.4.    Liczba zidentyfikowanych przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie, z rozróżnieniem na niegodziwe traktowanie dzieci w celach seksualnych i nagabywanie dzieci    

2.1.5.    Ochrona prawna użytkowników i sposób rozpoznawania skarg    

2.1.6.    Liczba i współczynniki błędów (wyniki fałszywie dodatnie) dotyczące poszczególnych zastosowanych technologii    

2.1.7.    Środki zastosowane w celu ograniczenia poziomu błędu i osiągnięty poziom błędu    

2.1.8.    Polityka zatrzymywania danych oraz stosowanych zabezpieczeń w zakresie ochrony danych zgodnie z RODO    

2.1.9.    Nazwy organizacji działających w interesie publicznym przeciwko niegodziwemu traktowaniu dzieci w celach seksualnych, którym udostępniono dane na mocy niniejszego rozporządzenia.    

2.2.    Dane statystyczne państw członkowskich (art. 8)    

2.2.1. Łączna liczba zgłoszeń dotyczących wykrytych przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie    

2.2.2. Liczba zidentyfikowanych dzieci    

2.2.3. Liczba skazanych sprawców.    

2.3.    Zmiany związane z postępem technologicznym    

2.3.1. Wykrywanie znanych materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych    

2.3.2. Wykrywanie nowych materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych    

2.3.3. Wykrywanie nagabywania dzieci dla celów seksualnych    

2.3.4. Nowe wyzwania związane z chatbotami i generatorami dzieł sztuki/obrazów bazującymi na sztucznej inteligencji    

3.    WNIOSKI    

WYKAZ TERMINÓW I AKRONIMÓW

1.WPROWADZENIE

W art. 9 rozporządzenia tymczasowego (zwanego dalej również „rozporządzeniem”) zobowiązano Komisję do przygotowania sprawozdania z jego wdrażania na podstawie sprawozdań przedłożonych przez dostawców usług łączności interpersonalnej (zwanych dalej „dostawcami”) dotyczących przetwarzania danych osobowych oraz danych statystycznych przekazanych przez państwa członkowskie. Zgodnie ze wspomnianym wyżej przepisem w sprawozdaniu z wdrażania Komisja analizuje w szczególności:

a) odpowiednie warunki przetwarzania odpowiednich danych osobowych i innych danych przetwarzanych na podstawie rozporządzenia;

b) proporcjonalność odstępstwa przewidzianego w rozporządzeniu, w tym ocenę danych statystycznych przedłożonych przez państwa członkowskie zgodnie z jego art. 8;

c) zmiany związane z postępem technologicznym w zakresie działań objętych zakresem stosowania rozporządzenia oraz stopień, w jakim postęp ten poprawia dokładność i zmniejsza liczbę i współczynniki błędów (wyniki fałszywie dodatnie).

Niniejsze sprawozdanie z wdrażania na podstawie rozporządzenia tymczasowego opiera się na danych uzyskanych ze sprawozdań dostawców i państw członkowskich zgodnie z odpowiednio art. 3 ust. 1 lit. g) pkt (vii) i art. 8 tego rozporządzenia. Sprawozdania te ujawniły znaczne rozbieżności pod względem dostępności danych, rodzajów gromadzonych danych, a tym samym również porównywalności danych gromadzonych przez dostawców i państwa członkowskie. Ponieważ w rozporządzeniu nie określono wzoru sprawozdań, dostawcy udostępniali różne rodzaje informacji, które niekoniecznie były porównywalne; w związku z tym służby Komisji podjęły działania następcze w celu zapewnienia prawidłowej interpretacji danych. Większość państw członkowskich nie była w stanie przekazać danych w terminie, a niektóre z nich do chwili publikacji niniejszego sprawozdania nie były w stanie dostarczyć żadnych danych. Miało to znaczący wpływ na harmonogram, kompletność i użyteczność sprawozdania. Pomimo starań na rzecz zapewnienia spójności i porównywalności danych nadal występują znaczne rozbieżności odzwierciedlone w tabelach poniżej, które również nie zawierają danych dotyczących wszystkich punktów dla wszystkich dostawców lub państw członkowskich.

Niniejsze sprawozdanie z wdrażania ma na celu przedstawienie opartego na faktach przeglądu bieżącej sytuacji w związku z wdrażaniem rozporządzenia tymczasowego na podstawie dostępnych danych. Sprawozdanie nie zawiera żadnych interpretacji rozporządzenia ani nie przedstawiono w nim żadnego stanowiska co do sposobu jego interpretacji i stosowania w praktyce.

2.ŚRODKI WYKONAWCZE

2.1.Przetwarzanie danych osobowych przez dostawców [art. 3 lit. g) pkt (vii)]

W art. 3 lit. g) pkt (vii) rozporządzenia tymczasowego określono warunki, zgodnie z którymi dostawcy działający na podstawie zawartego w nim odstępstwa mają obowiązek opublikowania i przedłożenia właściwemu organowi nadzorczemu oraz Komisji – do 3 lutego 2022 r., a następnie do 31 stycznia każdego roku – sprawozdania dotyczącego przetwarzania danych osobowych na podstawie tego rozporządzenia. Przedsiębiorstwa Google, LinkedIn, Meta, Microsoft i X (dawniej Twitter) 1 przedłożyły sprawozdania za lata 2021 i 2022.

2.1.1.Rodzaj i ilość przetwarzanych danych

Dostawcy zgłosili przetwarzanie zarówno danych dotyczących treści, jak i danych o ruchu.

Jeżeli chodzi o dane dotyczące treści przetwarzane w celu wykrywania niegodziwego traktowania dzieci w celach seksualnych w internecie, wszyscy wyżej wymienieni dostawcy wskazali obrazy i filmy. W większości polegali oni na technologiach dopasowywania skrótów PhotoDNA i MD5 w celu wykrycia dopasowań wcześniej zidentyfikowanych materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych.”CSAM” Narzędzie CSAI Match Google wykorzystywano do tworzenia cyfrowych odcisków palców filmów na platformach i porównywania ich z plikami w repozytorium odcisków palców Google/YouTube (LinkedIn). Równie często zgłaszano wykorzystywanie technologii zautomatyzowanej (uczenie maszynowe sztucznej inteligencji) i weryfikację przez człowieka (np. Google). Przedsiębiorstwa Google i LinkedIn potwierdziły identyfikację również materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych, które nie odpowiadały wcześniej zidentyfikowanym materiałom przedstawiającym niegodziwe traktowanie dzieci w celach seksualnych. Żaden z pięciu dostawców, którzy przedstawili dane, nie zgłosił danych dotyczących wykrywania nagabywania przez wykrywanie tekstu w ramach odstępstwa przewidzianego w tym rozporządzeniu.

Jeżeli chodzi o gromadzone dane o ruchu i odpowiednie ilości przetwarzanych różnego rodzaju danych dotyczących treści i danych o ruchu, sprawozdania znacząco różniły się między sobą.

Dane o ruchu gromadzone przez dostawców i zawarte w sprawozdaniach CyberTipline przekazywanych do amerykańskiego Krajowego Centrum ds. Zaginionych i Wykorzystywanych Dzieci (zwanego dalej „NCMEC”) obejmują (wszystkie lub wybrane) następujące dane:

a)dane dotyczące użytkownika/podmiotu zgłaszającego/konta (Google, LinkedIn, Microsoft, X);

b)metadane odnoszące się do danych dotyczących treści/danych dotyczących transakcji (Google, LinkedIn, Microsoft);

c)dane dotyczące potencjalnej ofiary (Google);

d)dane dotyczą operacji prowadzących do niegodziwego traktowania (Google).

Jeżeli chodzi o ilość danych przetwarzanych na podstawie rozporządzenia tymczasowego, serwis LinkedIn zgłosił przetworzenie 8 mln obrazów i filmów pochodzących z UE w okresie od 14 lipca do 31 grudnia 2021 r. oraz 21 mln obrazów i 63 000 filmów pochodzących z UE w 2022 r. Przedsiębiorstwo Microsoft zgłosiło przetworzenie do celów rozporządzenia 8,9 mld obrazów i filmów z całego świata w okresie od lipca do grudnia 2021 r. oraz 12,3 mld elementów treści z całego świata w 2022 r.; Dane dotyczące UE nie były dostępne i w związku z tym do celów niniejszego sprawozdania nie można sformułować żadnych wniosków. Pozostali dostawcy nie przedstawili informacji na temat ilości przetwarzanych danych. A zatem spośród pięciu dostawców, którzy złożyli sprawozdania, tylko jeden przekazał dane na wymaganym poziomie szczegółowości.

Aby zilustrować ogólny kontekst, NCMEC poinformowało, że w 2022 r. otrzymało łącznie 87,2 mln obrazów i filmów z całego świata oraz 5,1 mln obrazów i filmów dotyczących UE, a w 2021 r. – 84,8 mln obrazów i filmów z całego świata oraz 1,8 mln obrazów i filmów wideo dotyczących UE. Są to jedynie materiały, które dostawca uznał za potencjalne materiały przedstawiające niegodziwe traktowanie dzieci w celach seksualnych i w związku z tym nie można ich traktować jako wskaźnika dla ogólnej ilości danych przetwarzanych na podstawie rozporządzenia tymczasowego.

2.1.2. Podstawy przetwarzania zgodnie z rozporządzeniem (UE) 2016/679

Dostawcy dokonywali zgłoszeń, opierając się na następujących konkretnych podstawach zgodnie z rozporządzeniem (UE) 2016/679 (zwanym dalej RODO):

·art. 6 ust. 1 lit. d) RODO, tj. przetwarzanie niezbędne do ochrony żywotnych interesów dzieci oraz osób będących ofiarami niegodziwego traktowania dzieci w celach seksualnych w internecie (Google, Meta, X 2 );

·art. 6 ust. 1 lit. e) RODO, tj. przetwarzanie niezbędne do wykonania zadań realizowanych w interesie publicznym (LinkedIn, Microsoft, Meta, X 3 );

·art. 6 ust. 1 lit. f) RODO, tj. przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionych interesów:

I.dostawcy usług w celu wykrywania niegodziwego traktowania dzieci w celach seksualnych w internecie, zapobiegania mu lub przeciwdziałania mu w inny sposób w ramach swoich usług oraz do ochrony innych użytkowników, klientów, partnerów i społeczeństwa przed tą formą nielegalnych treści (Google, Meta);

II.ofiar niegodziwego traktowania dzieci w celach seksualnych oraz organizacji, której dostawca zgłasza niegodziwe traktowanie dzieci w celach seksualnych w internecie (np. NCMEC) w celu wykrywania niegodziwego traktowania dzieci w celach seksualnych w internecie, zapobiegania mu i usuwania z ich usług (Google).

2.1.3.Podstawa przekazywania danych osobowych poza Unię zgodnie z rozdziałem V RODO, w stosownych przypadkach

Wszyscy dostawcy zgłosili, że opierają się na standardowych klauzulach umownych zatwierdzonych przez Komisję zgodnie z art. 46 ust. 2 lit. c) RODO. W odniesieniu do przekazywania danych osobowych do NCMEC serwis LinkedIn zgłosił również, że korzysta z odstępstwa – w zakresie, w jakim ma to zastosowanie – dozwolonego na mocy art. 49 ust. 1 RODO.

2.1.4.Liczba zidentyfikowanych przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie, z rozróżnieniem na niegodziwe traktowanie dzieci w celach seksualnych i nagabywanie dzieci

Tabela n.1 Liczba zidentyfikowanych przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie w 2021 r.

W przypadku platformy X z dostarczonych danych nie wynika jasno, czy dotyczy to wyłącznie usług objętych zakresem rozporządzenia tymczasowego (usługi łączności interpersonalnej niewykorzystujące numerów), czy też numer ten obejmuje również inne usługi (takie jak usługi społeczeństwa informacyjnego). Odnosi się to do wszystkich danych dotyczących platformy X w niniejszym sprawozdaniu.

Tabela n.2 Liczba przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie zidentyfikowanych w 2022 r.

2.1.5.Ochrona prawna użytkowników i sposób rozpoznawania skarg 

Zgodnie z art. 3 ust. 1 lit. g) pkt (iv) rozporządzenia tymczasowego dostawcy mają obowiązek ustanowienia odpowiednich procedur i mechanizmów ochrony prawnej zapewniających użytkownikom możliwość składania do nich skarg. Ponadto art. 5 tego rozporządzenia zawiera przepisy dotyczące środków ochrony prawnej przed sądem.

Dostawcy zgłaszali wdrożenie takich wewnętrznych procedur i mechanizmów ochrony prawnej w odniesieniu do użytkowników, których konta zostały ograniczone z powodu udostępniania materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych lub treści usuniętych jako materiały przedstawiające niegodziwe traktowanie dzieci w celach seksualnych, tak aby mogli oni odwołać się od takiego ograniczenia/usunięcia i uzyskać weryfikację danego przypadku pod kątem błędów.

Zgłaszali sprawy, w których użytkownicy złożyli skargę w ramach wewnętrznego mechanizmu ochrony prawnej lub do organu sądowego w sprawach objętych zakresem rozporządzenia w UE oraz sposobu rozpoznawania takich skarg. Żaden dostawca, z wyjątkiem Microsoftu (który zgłosił 0 skarg w obu kanałach w 2021 r. i 2022 r.), nie przedstawił oddzielnych danych statystycznych dotyczących wewnętrznych środków ochrony prawnej i środków ochrony prawnej przed sądem; w rezultacie poniższe tabele obejmują zarówno wewnętrzne środki ochrony prawnej, jak i środki ochrony prawnej przed sądem.

Tabela n.3: Liczba spraw, w których użytkownicy złożyli skargę w ramach wewnętrznego mechanizmu ochrony prawnej lub do organu sądowego oraz sposób rozpoznawania takich skarg w 2021 r.

Tabela n.4: Liczba spraw, w których użytkownicy złożyli skargę w ramach wewnętrznego mechanizmu ochrony prawnej lub do organu sądowego oraz sposób rozpoznawania takich skarg w 2022 r.

2.1.6.Liczba i współczynniki błędów (wyniki fałszywie dodatnie) dotyczące poszczególnych zastosowanych technologii

Zgodnie z art. 3 ust. 1 lit. e) rozporządzenia tymczasowego dostawcy mają obowiązek zapewnienia, aby zastosowane technologie były wystarczająco wiarygodne, to znaczy ograniczały w jak największym stopniu poziom błędów dotyczących wykrywania treści przedstawiających niegodziwe traktowanie dzieci w celach seksualnych w internecie.

W tym kontekście dostawcy poinformowali, że nie stosują żadnej technologii do wykrywania samych przypadków niegodziwego traktowania dzieci w celach seksualnych. Zamiast tego wdrażają warstwowe podejście do wykrywania niegodziwego traktowania dzieci w celach seksualnych w internecie, łącząc różne technologie wykrywania w celu zwiększenia dokładności. Aby ograniczyć błędy lub wyniki fałszywie dodatnie, wszyscy dostawcy uzupełniają te działania weryfikacją przez człowieka. Dostawcy nie przekazali liczby ani współczynników błędów (wyników fałszywie dodatnich) dla każdej z poszczególnych technologii oddzielnie, ale zamiast tego zgłosili dane zagregowane dla wszystkich zastosowanych technologii.

Większość dostawców mierzy liczbę i współczynniki błędów jako odwrócenie decyzji egzekucyjnej, tj. jako ogólny wskaźnik przywrócenia/odwrócenia po złożeniu odwołania (np. wskaźnik przywrócenia przez dostawcę zablokowanego konta lub treści po odwołaniu złożonym przez użytkownika). Podejście przyjęte przez dostawców niekoniecznie odzwierciedla definicję „wyników fałszywie dodatnich” w danych statystycznych.

Zgłoszone wskaźniki przywrócenia/odwrócenia po złożeniu odwołania są następujące:

Tabela n.5: Wskaźniki przywrócenia/odwrócenia po złożenia odwołania

* Okresy sprawozdawcze w 2021 r. różnią się w zależności od dostawcy

2.1.7.Środki zastosowane w celu ograniczenia poziomu błędu i osiągnięty poziom błędu

Zgodnie z art. 3 ust. 1 lit. e) rozporządzenia tymczasowego zastosowane technologie muszą być wystarczająco wiarygodne, a w przypadku wystąpienia jakichkolwiek takich błędów ich skutki muszą być niezwłocznie korygowane. W ponadto w art. 3 ust. 1 lit. g) pkt (ii) wprowadzono wymóg zapewnienia nadzoru ludzkiego oraz, w razie potrzeby, interwencji ludzkiej.

Wszyscy dostawcy zgłosili, że stosują podejście warstwowe w celu wykrywania i zwalczania rozprzestrzeniania się niegodziwego traktowania dzieci w celach seksualnych w internecie. Obejmuje ono stosowanie technologii haszowania (w tym PhotoDNA) w celu wykrywania materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych w połączeniu z procesami weryfikacji przez człowieka w celu potwierdzenia, czy plik multimedialny (obraz i wideo) zawiera materiały przedstawiające niegodziwe traktowanie dzieci w celach seksualnych, a także nadzór ludzki nad przetwarzaniem materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych.

Dostawcy zgłosili, że stosują różne środki i zabezpieczenia w celu ograniczenia i zmniejszenia poziomu błędu w wykrywaniu, zgłaszaniu i usuwaniu niegodziwego traktowania dzieci w celach seksualnych w internecie. Obejmują one (niewyczerpujący wykaz) 4 :

I.monitorowanie i ocena jakości działania narzędzi wykrywania przypadków niegodziwego traktowania dzieci w celach seksualnych, zarówno w celu precyzyjnego dostosowania (aby wykrywały one wyłącznie niegodziwe traktowanie dzieci w celach seksualnych w internecie), jak i w celu przywoływania (aby nie przeoczyły one niegodziwego traktowania dzieci w celach seksualnych w internecie na swoich platformach) (Google, X);

II.weryfikacja i nadzór przez człowieka: próbki elementów multimedialnych wykrytych jako materiały przedstawiające niegodziwe traktowanie dzieci w celach seksualnych za pomocą technologii „hash-matching” są sprawdzane przez weryfikatorów/wyszkolonych analityków (Google, LinkedIn, Meta, Microsoft);

III.sygnalizowanie i weryfikacja dużych klastrów (Meta);

IV.wdrożenie dalszych procesów ręcznej weryfikacji jako stałej kontroli jakości skrótów (LinkedIn, Microsoft);

V.kontrolerzy przechodzący specjalistyczne, intensywne szkolenia pod kierunkiem doradców w zakresie rozpoznawania treści materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych w celu zapewnienia dokładności weryfikacji przez człowieka (Google);

VI.okresowe oceny kontroli jakości prowadzonej przez weryfikatorów i stosowanych opinii (Google, X);

VII.inne procesy kontroli jakości mające na celu ograniczenie błędów i ich natychmiastowe usuwanie, takie jak niezależna weryfikacja skrótów (Google, LinkedIn), weryfikacja przez człowieka każdego przypadku nieznanego wcześniej materiału przedstawiającego niegodziwe traktowanie dzieci w celach seksualnych przed zgłoszeniem (Google);

VIII.opracowanie i regularny przegląd polityk i strategii egzekwowania przepisów przez przeszkolonych ekspertów w ds. niegodziwego traktowania dzieci w celach seksualnych (Google);

IX.działanie w celu zwiększania jakości sprawozdań NCMEC CyberTipline i wyeliminowania ewentualnych wyników fałszywie dodatnich. (Google, LinkedIn, Meta, Microsoft, X).

2.1.8.Polityka zatrzymywania danych oraz stosowanych zabezpieczeń w zakresie ochrony danych zgodnie z RODO

W art. 3 ust. 1 lit. h) i i) rozporządzenia tymczasowego wymaga się, aby odpowiednie dane osobowe były przechowywane w bezpieczny sposób jedynie w określonych celach; artykuł ten zawiera również specyfikacje dotyczące odpowiedniego okresu przechowywania danych. Ponadto należy przestrzegać mających zastosowanie wymogów RODO.

Dostawcy zgłosili, że stosują solidną politykę zatrzymywania danych i zabezpieczenia w zakresie ochrony danych osobowych. Polityki zatrzymywania danych różnią się w zależności od rodzaju danych. Wskazują one, że w każdym przypadku okres zatrzymywania danych jest ograniczony w czasie, który uznaje się za odpowiedni z punktu widzenia rodzaju danych i celu przetwarzania, a dane są usuwane po zakończeniu okresu zatrzymywania. Dostawcy dysponują bardziej szczegółowymi informacjami na temat praktyk zatrzymywania danych określonych w ich polityce ochrony prywatności oraz umowach o świadczenie usług/umowach z użytkownikami.

Większość dostawców (LinkedIn, Meta, Microsoft) stosuje politykę zatrzymywania danych wynoszącą 90 dni w odniesieniu do multimediów, w przypadku których potwierdzono, że zawierają materiały przedstawiające niegodziwe traktowanie dzieci w celach seksualnych wykryte w ramach rozporządzenia. W tym okresie treść potwierdzona jako materiały przedstawiające niegodziwe traktowanie dzieci w celach seksualnych jest przechowywana w oddzielnym i bezpiecznym magazynie materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych, którymi zarządzają wyspecjalizowane zespoły (np. zespół ds. egzekwowania prawa i bezpieczeństwa narodowego Microsoft). Te systemy przechowywania automatycznie usuwają przechowywane treści stanowiące materiały przedstawiające niegodziwe traktowanie dzieci w celach seksualnych po 90 dniach, chyba że przedłużono okres przechowywania po otrzymaniu zgodnych z prawem wniosków w sprawie przetwarzania związanych zasadniczo z czynnościami organów ścigania w następstwie sprawozdań NCMEC.

Google poinformował, że materiały przedstawiające niegodziwe traktowanie dzieci w celach seksualnych wykryte w ramach stosowania rozporządzenia są przechowywane nie dłużej niż jest to absolutnie niezbędne do odpowiednich celów określonych w rozporządzeniu, a w każdym razie nie dłużej niż 12 miesięcy od momentu zidentyfikowania i zgłoszenia materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych, z możliwością przedłużenia na podstawie ważnego wniosku prawnego o zabezpieczenie.

X (dawniej Twitter) poinformował, że przechowuje informacje i treści z profilów przez cały okres istnienia konta użytkownika, a dane osobowe gromadzone w czasie korzystania przez użytkowników z usług – przez maksymalnie 18 miesięcy. Po dezaktywacji konta przez użytkownika X zazwyczaj przechowuje dane przez dodatkowe 30 dni, a następnie konto jest usuwane. Dane użytkowników związane ze skargami i naruszeniami polityki, w tym informacje o koncie osób naruszających prawo (np. identyfikatory wykorzystywane do utworzenia konta: adres e-mail lub numer telefonu) zatrzymuje się na czas nieokreślony, aby zapobiec tworzeniu nowych kont przez osoby dopuszczające się naruszenia polityki X i zapewnić, aby osoby naruszające politykę X nie mogły po prostu czekać do czasu, aż upłynie termin, po którym nastąpi usunięcie danych, a następnie ponownie naruszyć politykę 5 .

Zabezpieczenia ochrony danych osobowych wdrożone przez dostawców obejmują standardowe środki branżowe (wszystkie lub wybrane), takie jak (niewyczerpujący wykaz) 6 :

I.stosowanie technik deidentyfikacji lub pseudonimizacji oraz anonimizacji danych (np. maskowanie, haszowanie, prywatność różnicowa) (Goggle, LinkedIn, Meta, Microsoft);

II.przekazywanie osobom trzecim wyłącznie wartości skrótu do celów wykrywania materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych (Google, LinkedIn);

III.stosowanie standardowego szyfrowania branżowego (algorytmów i protokołów) w odniesieniu do danych przekazywanych między infrastrukturą prywatną a sieciami publicznymi (Meta);

IV.wdrożenie strategii zarządzania danymi/kompleksowych programów ochrony prywatności (X, dawniej Twitter, Google) oraz rygorystycznych wewnętrznych ograniczeń dostępu do danych (Meta) (np. mających zastosowanie do pracowników, wykonawców, agentów, którzy potrzebują informacji w celu ich przetwarzania), korzystanie z list kontroli dostępu w ramach narzędzi przeglądu materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych i zakazy dotyczące skrótów (Meta) oraz rygorystyczne zobowiązania do zachowania poufności umownej mające zastosowanie do osób mających dostęp;

V.przegląd strategii anonimizacji i zarządzania danymi, tj. przeprowadzanie przeglądów prywatności w celu zidentyfikowania i ograniczenia potencjalnych zagrożeń dla prywatności związanych z gromadzeniem, przetwarzaniem, przechowywaniem i udostępnianiem danych osobowych, przegląd praktyk w zakresie ochrony danych (Microsoft), dostęp do nich i ich ograniczanie;

VI.utrzymywanie planów reagowania na incydenty bezpieczeństwa w celu monitorowania i wykrywania ewentualnych luk w zabezpieczeniach i incydentami w całej infrastrukturze oraz postępowania w przypadku ich wystąpienia (Google, Meta).

2.1.9.Nazwy organizacji działających w interesie publicznym przeciwko niegodziwemu traktowaniu dzieci w celach seksualnych, którym udostępniono dane na mocy niniejszego rozporządzenia.

W obu okresach sprawozdawczych (od lipca/sierpnia 2021 r. do grudnia 2021 r. i od stycznia 2022 r. do –grudnia 2022 r.) wszyscy dostawcy zgłosili udostępnianie NCMEC danych przetwarzanych na podstawie tego rozporządzenia. Wszyscy dostawcy, którzy złożyli sprawozdania, powiadomili również Komisję, zgodnie z art. 7 ust. 1 rozporządzenia tymczasowego, że zgłosili do NCMEC niegodziwe traktowanie dzieci w celach seksualnych w internecie na podstawie tego rozporządzenia 7 .

2.2.Dane statystyczne państw członkowskich (art. 8)

Zgodnie z art. 8 ust. 1 rozporządzenia tymczasowego państwa członkowskie są zobowiązane do przekazywania danych statystycznych dotyczących:

(a)łącznej liczby zgłoszeń wykrytych przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie, które zostały przekazane przez dostawców i organizacje działające w interesie publicznym przeciwko niegodziwemu traktowaniu dzieci w celach seksualnych właściwym krajowym organom ścigania z rozróżnieniem, jeżeli takie informacje są dostępne, na bezwzględną liczbę przypadków i przypadki zgłoszone kilkakrotnie oraz rodzaju dostawcy, w którego usługach wykryto przypadki niegodziwego traktowania dzieci w celach seksualnych w internecie;

(b)liczby dzieci zidentyfikowanych w drodze działań na podstawie art. 3, z rozróżnieniem na płeć;

(c)liczby skazanych sprawców.

Większość państw członkowskich przekazała wprawdzie przynajmniej częściowe informacje, w wielu z nich nie ustanowiono jednak odpowiednich systemów gromadzenia danych i sprawozdawczości. W rezultacie, w przypadku gdy przekazano dane statystyczne, odnoszą się one do bardzo różnych okresów sprawozdawczych i różnią się znacznie pod względem szczegółowości. Niektóre państwa członkowskie przekazały roczne dane statystyczne według stanu na dzień wejścia w życie rozporządzenia. Większość z nich składała sprawozdania za lata kalendarzowe, ponieważ państwa te mogły nie dysponować środkami technicznymi umożliwiającymi wyodrębnienie wymaganych rocznych danych statystycznych od daty wejścia w życie rozporządzenia. Kilka państw członkowskich nie przekazało żadnych danych.

Należy również zauważyć, że w niektórych przypadkach dane statystyczne pochodzą z tzw. bieżących baz danych lub systemów rejestracji spraw i zarządzania sprawami, tj. nie z rzeczywistych systemów statystycznych. Dane liczbowe są czasami przekazywane na podstawie danych dynamicznych, co oznacza, że dane nie są ostateczne, tj. podlegają zmianom. Do zmian dochodzi np. w zależności od czasu pozyskania danych (np. w Słowenii i Danii) w miarę zakończenia większej liczby dochodzeń i spraw sądowych.

W wielu państwach członkowskich we właściwych organach powstają nowe departamenty, których zadaniem jest prowadzenie postępowań przygotowawczych w sprawach dotyczących niegodziwego traktowania dzieci w celach seksualnych w internecie, oraz tworzy się centralną sprawozdawczość dotyczącą niegodziwego traktowania dzieci w celach seksualnych (Łotwa, Czechy). Działania te powinny przyczynić się do przekazywania bardziej precyzyjnych danych statystycznych w przyszłości.

Niemcy stwierdziły, że nie są w stanie przedstawić żadnych danych statystycznych zgodnie z art. 8 ust. 1 rozporządzenia tymczasowego, ponieważ uznały, że nie mają podstawy prawnej umożliwiającej dobrowolne wykrywanie 8 . Na swojej stronie internetowej niemiecki Federalny Urząd Kryminalny (BKA) zgłasza jednak otrzymanie 89 844 zgłoszeń od NCMEC w 2022 r. oraz przekazanie 138 193 zgłoszeń niemieckim organom przez NCMEC 9 . Trzy państwa członkowskie nie przedstawiły żadnych danych ani żadnego uzasadnienia dla niedokonania zgłoszenia zgodnie z tym przepisem (Malta, Portugalia i Rumunia).

2.2.1. Łączna liczba zgłoszeń dotyczących wykrytych przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie

Większość państw członkowskich przekazała pewne dane statystyczne dotyczące łącznej liczby zgłoszeń niegodziwego traktowania dzieci w celach seksualnych w internecie zgodnie z art. 8 ust. 1 lit. a) rozporządzenia tymczasowego. Ponieważ państwa członkowskie przekazywały dane dotyczące różnych okresów sprawozdawczych, nie było możliwe obliczenie łącznej liczby zgłoszeń dotyczących wykrytych przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie otrzymanych na szczeblu UE dla danego okresu, takiego jak okres wdrażania rozporządzenia.

Państwa członkowskie przekazywały przeważnie łączną liczbę otrzymanych od dostawców lub innych organizacji działających w interesie publicznym przeciwko niegodziwemu traktowaniu dzieci w celach seksualnych zgłoszeń do krajowych organów ścigania. Biorąc pod uwagę, że większość dostawców z siedzibą w Stanach Zjednoczonych przesyła zgłoszenia do NCMEC, większość państw członkowskich zgłosiła, że otrzymuje wszystkie swoje zgłoszenia lub ich większość od NCMEC. Państwa członkowskie nie podały liczby zgłoszeń dających podstawę do podjęcia określonych działań, tj. zgłoszeń, które mogą doprowadzić do wszczęcia postępowania przygotowawczego, ale niektóre państwa członkowskie podały dużo niższą liczbę wszczętych postępowań przygotowawczych. Różnica między liczbą otrzymanych zgłoszeń a liczbą wszczętych postępowań wynikała z kilku przyczyn, np. gdy zgłoszenie zawierało materiały przedstawiające niegodziwe traktowanie dzieci w celach seksualnych, ale nie zawierało wystarczających informacji pozwalających na wszczęcie postępowania przygotowawczego; w następstwie połączenia zgłoszeń, w przypadku gdy określonego podejrzanego dotyczyło więcej niż jedno zgłoszenie lub gdy materiał, mimo iż ukazywał sytuacje wykorzystywania, nie został oceniony jako przestępstwo w świetle przepisów prawa krajowego. Ponadto państwa członkowskie w większości nie dokonywały rozróżnienia między bezwzględną liczbą przypadków, a przypadkami zgłaszanymi kilkukrotnie. Jeżeli chodzi o zgłoszenia przekazywane przez NCMEC, to NCMEC wstępnie dokonało podziału zgłoszeń otrzymanych od dostawców na „dające podstawę do podjęcia działań” lub „o charakterze informacyjnym”. Zgodnie z definicją NCMEC zgłoszeniem dającym podstawę do podjęcia działań jest zgłoszenie zawierające informacje wystarczające do wszczęcia postępowania przygotowawczego. Zazwyczaj zawiera ono informacje o użytkowniku, obrazy i możliwą lokalizację. Zgłoszenie klasyfikuje się jako „o charakterze informacyjnym”, jeżeli zawiera niewystarczające informacje lub jeżeli obrazy uznaje się za viral i były wielokrotnie zgłaszane. W 2022 r. NCMEC określiło 49 % zgłoszeń jako „dające podstawę do podjęcia działań”, natomiast 51 % uznano za zgłoszenia „o charakterze informacyjnym”.

Tylko nieliczne państwa członkowskie wskazało rodzaj dostawców świadczących usługi, w ramach których wykryto niegodziwe traktowanie dzieci w celach seksualnych w internecie (np. Belgia, Czechy, Estonia, Francja i Polska), a tylko jedno państwo członkowskie przedstawiło szczegółowe zestawienie (Belgia).

Słowenia wskazała, że nie może przedstawić danych liczbowych wyłącznie na temat przestępstw, w sprawie których toczy się postępowanie przygotowawcze w związku ze zgłoszeniami przekazanymi przez dostawców i organizacje, lecz może jedynie przedstawić dane liczbowe dotyczące wszystkich postępowań przygotowawczych w sprawie niegodziwego traktowania dzieci w celach seksualnych w internecie niezależnie od źródła informacji, które doprowadziły do wszczęcia postępowania.

Tabela n.6: Łączna liczba zgłoszeń dotyczących wykrytych przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie przekazana przez państwa członkowskie

Biorąc pod uwagę, że głównym źródłem zgłoszeń jest NCMEC, przydatne jest porównanie danych dotyczących zgłoszeń otrzymanych przez państwa członkowskie ze zgłoszeniami przekazanymi przez NCMEC w odniesieniu do zgłoszeń przekazywanych państwom członkowskim. W 2021 r. do NCMEC wpłynęło łącznie 29 397 681 zgłoszeń od branży na całym świecie, z czego 99,7 % (lub 29 309 106) zawierało co najmniej jeden obraz lub film przedstawiający niegodziwe traktowanie dzieci w celach seksualnych, 0,15 % (lub 44 155) dotyczyło nagabywania dzieci dla celów seksualnych, a 0,05 % (lub 16 032) – handlu dziećmi w celach seksualnych. W 2022 r. do NCMEC wpłynęło łącznie 32 059 029 zgłoszeń, z czego 99,5 % (lub 31 901 234) dotyczyło obrazów lub filmów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych, 0,25 % (80 524) – nagabywania dzieci dla celów seksualnych, a 0,06 % (lub 18 336) – handlu dziećmi w celach seksualnych. W przypadku UE podział przedstawia się następująco:

Tabela n.7: Zgłoszenia NCMEC dotyczące podejrzenia niegodziwego traktowania dzieci w celach seksualnych w internecie przekazane państwom członkowskim UE w 2021 i 2022 r.

Znaczne rozbieżności między liczbą zgłoszeń w 2021 r. i 2022 r. – ukazujące gwałtowny wzrost liczby zgłoszeń w 2022 r. – wynikają w dużej mierze ze spadku liczby przypadków dobrowolnego wykrywania w okresie od stycznia do sierpnia 2021 r., kiedy rozporządzenie tymczasowe nie miało jeszcze zastosowania.

NCMEC nie dokonuje w swoich danych statystycznych dotyczących poszczególnych państw członkowskich UE rozróżnienia według źródła zgłoszenia, w szczególności na podstawie tego, czy wynikało ono z usługi łączności interpersonalnej niewykorzystującej numerów. NCMEC przedstawia jednak dane statystyczne w odniesieniu do ogólnej liczby zgłoszeń dotyczących UE wynikających z usług łączności interpersonalnej niewykorzystujących numerów. W 2021 r. 283 265 zgłoszeń dotyczących państw członkowskich pochodziło z czatu, wiadomości lub usługi poczty elektronicznej, tj. było to 51 % wszystkich zgłoszeń dotyczących UE. Dodatkowe 164 645 (30 % łącznej liczby) zgłoszeń pochodziło z mediów społecznościowych lub platform gier internetowych, które mogą obejmować również zintegrowane usługi w zakresie wiadomości lub czatów. W 2021 r. 3 565 zgłoszeń dotyczących UE odnosiło się do nagabywania dzieci dla celów seksualnych. W 2022 r. 1 015 231 zgłoszeń dotyczących państw członkowskich pochodziło z czatu, wiadomości lub usługi poczty elektronicznej, tj. było to 68 % wszystkich zgłoszeń dotyczących UE. Dodatkowe 325 847 (22 % łącznej liczby) zgłoszeń pochodziło z mediów społecznościowych lub platform gier internetowych, które mogą obejmować również zintegrowane usługi w zakresie wiadomości lub czatów. W 2022 r. 7 561 zgłoszeń dotyczących UE odnosiło się do nagabywania dzieci dla celów seksualnych. Ponownie rozbieżności między liczbą zgłoszeń wynikających z usług łączności interpersonalnej niewykorzystujących numerów w 2021 r. i w 2022 r. wynikają ze spadku liczby przypadków dobrowolnego wykrywania w okresie od stycznia do sierpnia 2021 r., kiedy rozporządzenie tymczasowe nie miało jeszcze zastosowania.

W wielu przypadkach odsetek zgłoszeń w podziale na państwa członkowskie odpowiada w przybliżeniu udziałowi ludności danego państwa członkowskiego w porównaniu z liczbą ludności UE jako całością, co może wskazywać na porównywalne występowanie przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie we wszystkich państwach członkowskich. Zauważalne odchylenia można dostrzec w odniesieniu do Hiszpanii i Włoch, w przypadku których odsetek zgłoszeń wydaje się niski w porównaniu z odsetkiem ludności UE w obu latach, natomiast w przypadku innych państw członkowskich odsetek zgłoszeń wydaje się podlegać znacznym wahaniom (np. w Niemczech, Polsce, Niderlandach i Słowacji). Zmiany te jako takie nie znajdują odzwierciedlenia w sprawozdaniach dotyczących liczby spraw, w związku z czym również w tym przypadku trudno jest sformułować wnioski na temat korelacji między liczbą zgłoszeń a liczbą postępowań przygotowawczych.

Ze względu na różnice w okresach sprawozdawczych bezpośrednie dopasowanie nie jest możliwe, istnieją jednak znaczne rozbieżności między danymi statystycznymi przekazanymi przez NCMEC a danymi liczbowymi zgłoszonymi przez państwa członkowskie. Ponadto nie można również w pełni dopasować danych liczbowych NCMEC dotyczących państw członkowskich do przekazanych przez branżę danych, o których mowa w poprzedniej sekcji. Chociaż niektóre różnice mogą wynikać ze zgłoszeń przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie, które pochodzą ze źródeł innych niż komunikacja interpersonalna, wymagałoby to dalszej analizy, ponieważ możliwe jest również zastosowanie środków dobrowolnego wykrywania dotyczących UE przez dostawców innych niż ci, którzy dotychczas przedłożyli Komisji sprawozdania, biorąc pod uwagę wykaz dostawców, którzy przekazują zgłoszenia do NCMEC. 12 Niemniej fakt, że w przypadku większości państw członkowskich można odnotować znaczącą rozbieżność między liczbą zgłoszeń, które NCMEC odnotowuje jako przekazane państwu członkowskiemu, a liczbą zgłoszeń, które to państwo członkowskie odnotowuje jako otrzymane, sugeruje że wykorzystywany przez państwa członkowskie mechanizm gromadzenia i zgłaszania danych nie jest w pełni funkcjonalny.

W przypadku wszystkich wymienionych powyżej zgłoszeń przekazanych NCMEC powiązane z nimi zdjęcia i filmy przedstawiające niegodziwe traktowanie dzieci w celach seksualnych zostały usunięte i wycofane z obiegu. Ma to istotne znaczenie w szczególności dla obecnych ofiar niegodziwego traktowania dzieci w celach seksualnych oraz dla osób, które doświadczyły takiego traktowania w przeszłości. Badania wykazały, że pozostawienie zdjęć i filmów przedstawiających niegodziwe traktowanie ofiar w celach seksualnych w obiegu ogranicza zdolność ofiar do poradzenia sobie ze skutkami psychologicznymi takiego niegodziwego traktowania i prowadzi do wtórnej wiktymizacji.

2.2.2. Liczba zidentyfikowanych dzieci

Większość państw członkowskich przekazała kompletne lub częściowe dane statystyczne dotyczące liczby zidentyfikowanych dzieci z rozróżnieniem na płeć zgodnie z art. 8 ust. 1 lit. b) rozporządzenia tymczasowego. Kilka państw członkowskich nie przedstawiło jednak żadnych danych ani żadnego uzasadnienia dla niedokonania zgłoszenia zgodnie z tym przepisem.

Szereg państw członkowskich nie przekazało żadnych danych statystycznych dla tego okresu sprawozdawczego lub przekazało jedynie częściowe dane statystyczne, ale przedstawiło przyczyny tego stanu rzeczy. Obejmowały one:

-brak możliwości policzenia ofiar niegodziwego traktowania dzieci w celach seksualnych w internecie (Francja);

-brak danych z uwagi na fakt, że nie są one gromadzone w ramach działań w zakresie gromadzenia danych statystycznych na szczeblu krajowym lub z uwagi na fakt, że organy krajowe nie zarejestrowały tych danych statystycznych (Dania, Litwa);

-nierejestrowanie danych z rozróżnieniem na płeć w procesie gromadzenia danych statystycznych na szczeblu krajowym (Belgia, Cypr, Czechy, Grecja, Irlandia, Włochy, Litwa, Niderlandy);

-brak informacji charakteryzujących się żądanym poziomem szczegółowości w istniejących systemach informacyjnych (Finlandia);

-niegromadzenie tego rodzaju informacji (Niemcy).

Kilka spośród państw członkowskich, które poinformowały, że nie były w stanie przekazać żądanych danych statystycznych, potwierdziło, że do ich organów krajowych zwrócono się o wprowadzenie zmian w procedurze rejestracji dobrowolnych zgłoszeń, wyników analiz i gromadzonych danych statystycznych (Dania) lub że wdrażają nowe systemu informacyjne, które powinny umożliwić zgłaszanie informacji o wymaganym poziomie szczegółowości (Finlandia).

W jednym państwie członkowskim w odniesieniu do danych przedstawionych poniżej nie dokonano rozróżnienia między ofiarami niegodziwego traktowania dzieci w celach seksualnych w internecie i poza nim (Węgry). W niektórych przypadkach dane statystyczne obejmują również dzieci, które zidentyfikowano jako osoby samodzielnie tworzące i udostępniające tego rodzaju materiały (samodzielnie tworzone materiały, głównie filmy) (Czechy, Estonia).

Ponieważ państwa członkowskie przeważnie przekazywały dane dotyczące różnych okresów sprawozdawczych, obliczenie łącznej liczby dzieci zidentyfikowanych jako ofiary niegodziwego traktowania dzieci w celach seksualnych w internecie w UE w ujęciu rocznym lub w tym samym okresie sprawozdawczym nie było możliwe.

Tabela n.8: Liczba zidentyfikowanych dzieci z rozróżnieniem na płeć

Przedstawione powyżej dane są obwarowane szeregiem dodatkowych zastrzeżeń. Istniejące dane statystyczne nie zawsze umożliwiają państwom członkowskim odseparowanie danych dotyczących ofiar zidentyfikowanych na podstawie zgłoszenia dokonanego przez dostawcę od danych uzyskanych np. na podstawie zgłoszenia dokonanego przez samą ofiarę przestępstwa lub przez osobę, która znała ofiarę lub wykryła przestępstwo (o czym wspominają organy słoweńskie). Organy szwedzkie poinformowały, że dzieci, które zostały zidentyfikowane na podstawie rejestrów chatów, są również uwzględniane w zgłaszanych danych, mimo że nigdy nie znaleziono żadnych zdjęć ani filmów przedstawiających niegodziwe traktowanie tych dzieci albo nie ustalono, że takie zdjęcia lub materiały wideo pochodzą od tej konkretnej ofiary.

Ogólnie rzecz biorąc, dane przedstawione w tabeli nr 8 niekoniecznie odpowiadają obowiązkom w zakresie zgłaszania przewidzianym w rozporządzeniu tymczasowym, które dotyczą wyłącznie ofiar uratowanych dzięki zgłoszeniom przekazanym zgodnie z rozporządzeniem przez dostawców i organizacje działające w interesie publicznym przeciwko niegodziwemu traktowaniu dzieci w celach seksualnych. W niektórych przypadkach przekazane dane obejmują również ofiary zidentyfikowane z różnych innych powodów i przy wykorzystaniu różnych innych metod.

Dane te nie pozwalają zatem na uzyskanie kompleksowego obrazu sytuacji, jeżeli chodzi o liczbę dzieci zidentyfikowanych jako ofiary niegodziwego traktowania dzieci w celach seksualnych w internecie w UE.

Co więcej, nawet gdy zidentyfikowano ofiarę, taka identyfikacja niekoniecznie musiała wiązać się ze skazaniem sprawcy niegodziwego traktowania, jakiemu poddana została ofiara. W niektórych przypadkach identyfikowano ofiarę, ale w toku postępowania przygotowawczego nie udawało się ustalić podejrzanego albo postępowanie przygotowawcze nie kończyło się wydaniem wyroku skazującego (Szwecja).

Ze zgromadzonych danych można jednak wywnioskować, że znaczną liczbę ofiar zidentyfikowano dzięki zgłoszeniom dobrowolnym dokonywanym zgodnie z rozporządzeniem tymczasowym. Znajduje to potwierdzenie w sprawach zgłaszanych przez organy ścigania, które niejednokrotnie wszczyna się wyłącznie na podstawie dobrowolnego zgłoszenia 13 .

2.2.3. Liczba skazanych sprawców.

Choć większość państw członkowskich wywiązała się ze spoczywających na nich zobowiązań, dwa państwa członkowskie nie przekazały żadnych danych ani żadnego uzasadnienia niezgłoszenia danych zgodnie z art. 8 ust. 1 lit. c) rozporządzenia tymczasowego.

Kilka państw członkowskich nie przekazało żadnych danych statystycznych dotyczących okresu sprawozdawczego zgodnie z tym przepisem, przedstawiając następujące przyczyny tego stanu rzeczy:

-dane nie są jeszcze dostępne (Belgia i Hiszpania);

-centralna baza danych wykorzystywana do prowadzenia ewidencji przestępstw nie wymaga podania informacji dotyczących charakteru pierwotnego zawiadomienia o popełnieniu przestępstwa (Irlandia);

-dane nie są gromadzone (Niemcy).

Jak wskazano w tabeli nr 9 poniżej, państwa członkowskie zgłaszały bardzo zróżnicowane dane dotyczące liczby skazanych sprawców i brak było spójności, jeżeli chodzi o okresy sprawozdawcze, których dotyczyły te dane.

Tabela n.9: Liczba skazanych sprawców.

Należy pamiętać o tym, że liczba wyroków skazujących nie odpowiada liczbie skazanych osób, ponieważ dana osoba może zostać skazana za popełnienie więcej niż jednego przestępstwa związanego z niegodziwym traktowaniem dzieci w celach seksualnych w internecie.

Co więcej, dane statystyczne dotyczące wyroków skazujących przekazane za dany okres niekoniecznie muszą być powiązane ze zgłoszeniami otrzymanymi w tym okresie (tj. wyrok skazujący wydany w 2022 r. może być powiązany np. ze zgłoszeniem z 2021 r. lub 2020 r., natomiast zgłoszenie dokonane w 2022 r. może doprowadzić do skazania dopiero w 2023 r. lub później). Szereg państw członkowskich wprost zwróciło uwagę na ten fakt w swoich sprawozdaniach (Irlandia, Luksemburg, Szwecja).

W niektórych przypadkach nie gromadzono żadnych danych statystycznych dotyczących tego, czy zgłoszenia podejrzanych działań (np. dokonywane za pośrednictwem NCMEC) doprowadziły do wydania wyroków skazujących, lub, innymi słowy, czy wyroki skazujące wydano na podstawie informacji przekazanych przez dostawcę lub organizację publiczną (Austria, Łotwa). Tylko władze estońskie jednoznacznie potwierdziły, że dane statystyczne dotyczą wyłącznie wyroków skazujących wydanych w następstwie zgłoszeń do NCMEC. Nie można również wykluczyć, że takie zgłoszenia naprowadziły organy ścigania na trop innych przestępców, wobec których prowadzono postępowania przygotowawcze i których ostatecznie skazano (Austria).

Co do zasady przyjmuje się, że podana liczba wyroków skazujących dotyczy przypadków, w których sąd wydał prawomocne orzeczenie kończące postępowanie w sprawie, potencjalnie po wyczerpaniu środków zaskarżenia dostępnych w systemie sądowym. W jednym państwie członkowskim (Dania), gdzie gromadzi się dane na temat najnowszego orzeczenia wydanego w danej sprawie, przedstawione wartości liczbowe nie mają ostatecznego charakteru, ponieważ wydane orzeczenia mogą jeszcze zostać zaskarżone.

W niektórych przypadkach w zgłaszanych przez państwa członkowskie danych figurujących w krajowych systemach IT nie dokonuje się rozróżnienia między przestępstwami popełnianymi w internecie i poza nim (Austria, Luksemburg, Łotwa).

Duży stopień zróżnicowania sprawozdań przekazywanych przez państwa członkowskie oraz duże różnice w sposobie gromadzenia danych statystycznych na szczeblu krajowym uniemożliwiają zatem uzyskanie kompleksowego obrazu sytuacji, jeżeli chodzi o liczbę sprawców skazanych za dopuszczanie się niegodziwego traktowania dzieci w celach seksualnych w internecie w UE. Obecnie nie sposób jest również – na podstawie dostępnych danych – jednoznacznie powiązać te wyroki skazujące ze zgłoszeniami dokonywanymi przez dostawców i organizacje działające w interesie publicznym przeciwko niegodziwemu traktowaniu dzieci w celach seksualnych w konkretnych okresach sprawozdawczych zgodnie z rozporządzeniem tymczasowym.

2.3.Zmiany związane z postępem technologicznym

Technologie wykorzystywane obecnie do wykrywania przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie obejmują technologie i narzędzia służące do wykrywania „znanych” (tj. wcześniej wykrytych) materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych i „nowych” (tj. wcześniej niewykrytych) materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych, a także przypadków nagabywania dzieci (określanego jako nagabywanie dzieci dla celów seksualnych).

Poniżej przedstawiono przykłady niektórych spośród najpowszechniej stosowanych narzędzi, przy czym wykaz ten nie jest wyczerpujący. Wiele z tych narzędzi udostępnia się dostawcom, organom ścigania i innym organizacjom, o ile będą one w stanie wykazać, że mają w tym uzasadniony interes. Narzędzia te zazwyczaj wykorzystuje się w połączeniu z weryfikacją przez człowieka, aby zapewnić ich możliwie jak największą dokładność.

W niniejszej sekcji przedstawiono również informacje dotyczące dodatkowych zmian związanych z postępem technologicznym wynikających z rozwoju sztucznej inteligencji.

2.3.1. Wykrywanie znanych materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych

Istniejące technologie służące do wykrywania znanych materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych opierają się w całości na automatycznej analizie treści 14 , u podstaw której leży zazwyczaj haszowanie. Technologia haszowania jest rodzajem cyfrowego pobierania odcisków palców. Tworzy ona unikalny podpis cyfrowy (tzw. „skrót”) obrazu, który porównuje się następnie z podpisami (skrótami) innych zdjęć w celu znalezienia kopii tego samego obrazu. Technologia ta umożliwia wyłącznie wykrywanie pasujących do siebie skrótów i nie pozwala „zobaczyć” żadnych materiałów, które nie pasują do danego skrótu. Wartości skrótu są również nieodwracalne, a zatem nie można wykorzystać ich do odtworzenia obrazu.

Istnieje wiele rodzajów i wiele zastosowań technologii haszowania. Narzędzia wykorzystywane do wykrywania znanych materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych obejmują: (i) Microsoft PhotoDNA ; (ii) Google CSAI Match ; (iii) Apple NeuralHash + Private Set Intersection ; (iv) Meta SSN++ ; (v) PDQ i TMK+PDQF ; (vi) MD5 Hash generator (Skype); (vii) Safer (Thorn).

Najpowszechniej stosowanym narzędziem jest Microsoft PhotoDNA, z którego korzysta ponad 150 organizacji 15 . PhotoDNA pozostaje w użyciu od ponad 10 lat i charakteryzuje się wysokim poziomem dokładności. Na podstawie wyników badań odsetek wyników fałszywie dodatnich szacuje się na nie więcej niż 1 na 50 mld 16 . Poziom błędu PhotoDNA utrzymuje się na wyjątkowo niskim poziomie z uwagi na specyfikę technologii leżącej u podstaw tego narzędzia. Technologia ta wykrywa wyłącznie kopie wcześniej zidentyfikowanych treści. Choć oryginalna wersja PhotoDNA służy do wykrywania znanych materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych w postaci zdjęć, dostępna jest również wersja umożliwiająca wykrywanie materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych w postaci filmów.

Technologia ta jest nieustannie rozwijana i udoskonalana. W maju 2023 r. Microsoft zapowiedział wprowadzenie nowych rozwiązań w zakresie dopasowywania umożliwiających szybsze (około 350-krotnie) wyszukiwanie, przy jednoczesnym ograniczeniu kosztów związanych z procesem dopasowywania bez uszczerbku dla dokładności. Zdaniem Microsoftu nowa biblioteka zapewnia również możliwość bardziej kompleksowego wykrywania odwróconych lub obróconych obrazów. Internet Watch Foundation (IWF) poinformowała ponadto, że niedawno udoskonaliła swoją technologię haszowania 17 .

2.3.2. Wykrywanie nowych materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych

Rozwiązania technologiczne stosowane obecnie do wykrywania nowych materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych obejmują klasyfikatory i sztuczną inteligencję (AI) – służą one do analizowania zdjęć i filmów w celu wykrycia wzorców wygenerowanych na podstawie wcześniej zidentyfikowanych materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych. Klasyfikator to algorytm służący do sortowania danych na określone klasy lub kategorie informacji za pomocą rozpoznawania wzorców. Klasyfikatory potrzebują danych treningowych, a ich dokładność zwiększa się wraz ze wzrostem ilości udostępnianych im danych.

Narzędzia służące do wykrywania nowych materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych obejmują: (i) Safer (Thorn); (ii) Google Content Safety API ; (iii) technologię AI wykorzystywaną przez Facebooka 18 ; (iv) Amazon Rekognition ; (v) AI opracowaną przez Hive na potrzeby treści wizualnych .

Badania wykazały, że korzystanie ze zautomatyzowanych narzędzi i systemów takich jak klasyfikatory jest najskuteczniejszą metodą wykrywania materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych 19 . Jeżeli chodzi o wykrywanie nowych materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych, ich poziom dokładności znacznie przekracza obecnie 90 %. Na przykład Thorn oświadczył, że opracowany przez nie klasyfikator materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych można skonfigurować w taki sposób, by jego poziom dokładności wynosił 99 % (zarówno w odniesieniu do znanych, jak i w odniesieniu do nowych materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych), co przekłada się na odsetek wyników fałszywie dodatnich na poziomie 0,1 % 20 . Parametry te będą się prawdopodobnie poprawiać wraz ze wzrostem stopnia wykorzystywania stosownych narzędzi i w miarę przekazywania informacji zwrotnych.

2.3.3. Wykrywanie nagabywania dzieci dla celów seksualnych

Narzędzia wykorzystywane do wykrywania przypadków nagabywania dzieci dla celów seksualnych (nagabywanie dzieci) w komunikacji tekstowej opierają się na technologiach służących wyłącznie do wykrywania wzorców wskazujących na możliwość wystąpienia konkretnych elementów pozwalających na powzięcie podejrzenia, że w danym przypadku może dochodzić do niegodziwego traktowania dzieci w celach seksualnych, bez możliwości odczytania treści wymienianych wiadomości. Technika ta jest wykorzystywana w odniesieniu do rozmów prowadzonych za pośrednictwem chatów tekstowych. Rozmowy ocenia się na podstawie szeregu czynników i przyporządkowuje się im ogólny wskaźnik prawdopodobieństwa wskazujący szacunkowe prawdopodobieństwo, że dana rozmowa może stanowić przejaw nagabywania dzieci dla celów seksualnych. Wspomniane wskaźniki pełnią funkcję wyznaczników, na podstawie których poszczególne przedsiębiorstwa oznaczają rozmowy wymagające dodatkowej weryfikacji przez człowieka.

Narzędzia wykorzystywane do monitorowania wiadomości tekstowych obejmują: (i) Project Artemis opracowany przez Microsoft 21 ; (ii) Amazon Rekognition ; (iii) technologię Spirit AI stosowaną na platformie Twitch (opierającą się na przetwarzaniu języka naturalnego i klasyfikatorach tekstu) 22 ; (iv) wewnętrzny klasyfikator „rankingowy” bazujący na uczeniu maszynowym opracowany przez Meta na użytek własny (łączący technologię wewnętrznej analizy językowej z metadanymi); (v) technologia filtrowania chatu na platformie  Roblox 23 ; (vi) rozwiązanie techniczne bazujące na uczeniu maszynowym i klasyfikatorach opracowane przez Thorn i Tech Coalition 24 .

Podobnie jak w przypadku rozwiązań służących do identyfikowania nowych materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych identyfikowanie treści wiążących się z nagabywaniem dzieci dla celów seksualnych wymaga wytrenowania stosownej technologii poprzez udostępnienie jej tego rodzaju treści. Dostęp do takich danych treningowych pozostaje największym wyzwaniem utrudniającym rozwój i udoskonalanie tych technologii.

Thorn, we współpracy z Tech Coalition i jej członkami, uruchomił nową inicjatywę mającą na celu opracowanie rozwiązania technicznego zapewniającego możliwość identyfikowania prób nagabywania dzieci dla celów seksualnych przez internet i reagowania na te próby, które będzie przydatne dla szeregu platform oferujących usługi komunikacji tekstowej i możliwe do zastosowania na tych platformach. Rozwiązanie to będzie opierało się na wynikach prac zespołu Thorn nad klasyfikatorem przetwarzania języka naturalnego bądź modelem uczenia maszynowego umożliwiającym wykrywanie i kategoryzowanie treści lub zachowań w internecie, które można przyporządkować do określonych „klas” związanych z nagabywaniem dzieci dla celów seksualnych (np. udostępnianie materiałów o charakterze seksualnym lub dążenie do zorganizowania osobistego spotkania z osobą małoletnią), a także przyporządkowywanie poszczególnym rozmowom ogólnego wskaźnika określającego, w jakim stopniu można uznać je za nagabywanie dzieci dla celów seksualnych 25 .

2.3.4. Nowe wyzwania związane z chatbotami i generatorami dzieł sztuki/obrazów bazującymi na sztucznej inteligencji

Opracowanie i powszechne udostępnienie chatbotów bazujących na AI takich jak ChatGPT (dużego modelu językowego (LLM) opracowanego przez OpenAI ) oraz generatorów dzieł sztuki/obrazów takich jak DALL-E 26 i Midjourney 27 spotkało się z dużym zainteresowaniem opinii publicznej, głównie z uwagi na fakt, że rozwiązania te są w stanie szybko udzielić gotowych do wykorzystania odpowiedzi na zadawane im pytania lub tworzyć realistyczne obrazy, które można wykorzystywać w bardzo wielu różnych kontekstach. Te nowe narzędzia szybko zdobyły powszechną popularność i zaczęły być stosowane na szeroką skalę. Wiodące produkty są finansowane i opracowywane przez przedsiębiorstwa technologiczne, m.in. Microsoft i Google, nowe technologie są usprawniane, a udoskonalone wersje tych narzędzi są regularnie udostępniane.

Choć tego rodzaju technologie oferują ogromne możliwości zarówno przedsiębiorstwom, jak i obywatelom, mogą również stanowić dla nich zagrożenie. Obawy związane z takimi produktami dotyczą m.in. sposobów, w jakie przestępcy mogą chcieć je wykorzystywać do swoich niecnych celów, w tym do wykorzystywania seksualnego dzieci.

Z informacji przekazanych przez Europol wynika, że choć wszystkie informacje przekazywane przez ChatGPT są swobodnie dostępne w internecie, narzędzie to znacznie ułatwia podmiotom działającym w złym zamiarze „zdobycie wiedzy na temat szerokiego spektrum potencjalnych obszarów przestępczości bez ich uprzedniej znajomości, począwszy od tego, w jaki sposób włamać się do domu, przez działalność terrorystyczną i cyberprzestępczość, a skończywszy na niegodziwym traktowaniu dzieci w celach seksualnych”. Dzięki temu osoby te są w stanie lepiej zrozumieć specyfikę tego rodzaju przestępstw, a co za tym idzie – sprawniej je popełniać 28 .

Zasady wprowadzone przez OpenAI ograniczają zdolność ChatGPT do odpowiadania na pytania dotyczące treści o charakterze seksualnym, nienawistnym i związanym z przemocą lub treści propagujących samookaleczanie się. Zabezpieczenia te można jednak stosunkowo łatwo obejść przy wykorzystaniu inżynierii podpowiedzi 29 . Odnotowywane niedawno przypadki zastosowania chatbotów AI (np. przez Snapchat) pokazują, w jaki sposób tego rodzaju narzędzia mogą przekroczyć granicę, wdając się w obraźliwe lub niebezpieczne interakcje, w tym interakcje dotyczące niegodziwego traktowania dzieci w celach seksualnych 30 . Ponieważ coraz większa liczba przedsiębiorstw rozważa obecnie rozpoczęcie testów z wykorzystaniem chatbotów AI na swoich platformach (Instagram, potencjalnie WhatsApp i Messenger), należy dokładnie ocenić wpływ tych narzędzi na użytkowników, w szczególności dzieci i młodzież.

Te nowe narzędzia wymagają również wprowadzenia odpowiednich zabezpieczeń, aby uniemożliwić ich nadużywanie do tworzenia wygenerowanych przez AI materiałów deepfake przedstawiających niegodziwe traktowanie dzieci w celach seksualnych 31 . Zważywszy na tempo rozwoju narzędzi AI, istnieje duże prawdopodobieństwo, że generowanie zdjęć niemożliwych do odróżnienia od prawdziwych zdjęć stanie się znacznie łatwiejsze. Sytuacja ta stwarza szereg istotnych wyzwań w kontekście zwalczania niegodziwego traktowania dzieci w celach seksualnych, ponieważ zdolność organów ścigania do prowadzenia postępowań przygotowawczych i ścigania sprawców w sprawach dotyczących materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych może zostać poważnie ograniczona w przypadku upowszechnienia się wysoce realistycznych, wygenerowanych komputerowo materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych w internecie 32 .

Badania wykazały, że uzyskiwanie dostępu do materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych stanowi niejednokrotnie pierwszy krok prowadzący do późniejszego dopuszczania się takiego niegodziwego traktowania w rzeczywistości, niezależnie od tego, czy dany materiał przedstawia rzeczywisty, czy też realistycznie przedstawiony przypadek niegodziwego traktowania 33 . Ograniczenie rozpowszechniania generowanych przez AI materiałów deepfake przedstawiających niegodziwe traktowanie dzieci w celach seksualnych ma zatem kluczowe znaczenie jako forma prewencji po stronie sprawców. Inna poważna obawa jest związana z faktem, że osoby nagabujące dzieci dla celów seksualnych mogą korzystać z zaawansowanych funkcji generowania tekstu oferowanych przez ChatGPT w połączeniu z istniejącymi bezpłatnymi narzędziami AI zamieniającymi tekst w obraz do szybkiego i łatwego generowania treści na fałszywe profile oraz do prowadzenia wiarygodnych konwersacji z osobami młodymi, aby nagabywać dzieci w internecie. „Choć ChatGPT sam w sobie nie będzie zachęcał użytkowników do stania się osobami nagabującymi dzieci dla celów seksualnych przez internet, zapewnia każdemu, kto prowadzi rozmowy z dziećmi online, możliwość przetworzenia treści tych rozmów przez technologię AI w taki sposób, aby stać się bardziej przekonującym i wiarygodnym w oczach swoich ofiar, ułatwiając tym samym manipulowanie nimi” 34 . Generatywna AI mogłaby potencjalnie przyczynić się do zwiększenia liczby przypadków nagabywania dzieci dla celów seksualnych przez internet, a nawet do „zautomatyzowania procesu nagabywania dzieci dla celów seksualnych na dużą skalę” 35 .

3.WNIOSKI

Środki wykonawcze wdrożone przez dostawców

Ze sprawozdań przekazywanych przez dostawców wynika, że podejmowali oni działania w zakresie wykrywania i zgłaszania niegodziwego traktowania dzieci w celach seksualnych w internecie zgodnie z rozporządzeniem tymczasowym przy wykorzystaniu różnego rodzaju technologii i procesów wykrywania. Wszyscy dostawcy poinformowali, że przekazali NCMEC stosowne sprawozdawania. Jeżeli chodzi o rodzaj i ilość danych osobowych przetwarzanych przez dostawców, ze sprawozdań wynika, że dostawcy gromadzą szeroką gamę danych o ruchu i przetwarzają dane o różnym poziomie szczegółowości, co uniemożliwia Komisji uzyskanie jednolitych danych dotyczących dostawców w omawianym okresie sprawozdawczym (od lipca 2021 r. do 31 stycznia 2023 r.) na szczeblu unijnym.

Dostawcy nie przekazali informacji na temat liczby i współczynników błędów (wyniki fałszywie dodatnie) dotyczących poszczególnych wykorzystywanych technologii, wskazując, że na potrzeby wykrywania niegodziwego traktowania dzieci w celach seksualnych w internecie stosują podejście warstwowe uzupełniane weryfikacją przez człowieka. Jednocześnie dostawcy wprowadzili szerokie spektrum środków i zabezpieczeń w celu ograniczenia i zmniejszenia poziomu błędu w wykrywaniu przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie. Co więcej, dostawcy poinformowali o ustanowieniu polityki w zakresie zatrzymywania danych oraz zabezpieczeń służących ochronie danych określonych w ich polityce prywatności lub oświadczeniach o ochronie prywatności oraz o korzystaniu z zabezpieczeń i środków ochrony danych typowych dla tej branży.

Środki wykonawcze wdrożone przez państwa członkowskie

W rozporządzeniu tymczasowym (na podstawie jego art. 8) na państwa członkowskie nałożono również obowiązek przekazywania kluczowych danych statystycznych dotyczących przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie wykrytych i zgłoszonych ich organom ścigania, liczby zidentyfikowanych dzieci będących ofiarami oraz liczby skazanych sprawców. Ponieważ państwa członkowskie przeważnie przekazywały dane dotyczące różnych okresów sprawozdawczych, obliczenie łącznej liczby zgłoszeń dotyczących wykrytych przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie otrzymanych na szczeblu UE na podstawie otrzymanych danych nie było możliwe. Dane o zgłoszeniach otrzymanych i przekazanych przez państwa członkowskie mogą ponadto różnić się od zgłoszeń dających podstawę do podjęcia określonych działań, tj. od zgłoszeń, które mogą doprowadzić do wszczęcia postępowania przygotowawczego, lub mogą nie odpowiadać łącznej liczbie zgłoszonych przypadków. Zaledwie kilka państw członkowskich wskazało rodzaj dostawców świadczących usługi, w ramach których wykryto niegodziwe traktowanie dzieci w celach seksualnych w internecie. W niektórych przypadkach w krajowych danych statystycznych nie dokonuje się rozróżnienia między przestępstwami, w odniesieniu do których postępowanie przygotowawcze wszczęto na podstawie zgłoszenia dokonanego przez dostawców i inne organizacje działające w interesie publicznym przeciwko niegodziwemu traktowaniu dzieci w celach seksualnych, a przestępstwami, w odniesieniu do których postępowanie przygotowawcze wszczęto na podstawie innego zgłoszenia.

Podobnie na podstawie otrzymanych sprawozdań nie można było ustalić łącznej liczby dzieci zidentyfikowanych jako ofiary niegodziwego traktowania dzieci w celach seksualnych w internecie w UE z rozróżnieniem na płeć. Było to spowodowane m.in.: zgłaszaniem danych dotyczących różnych okresów; stosowaniem różnych granic wieku w celu ustalenia, czy dana osoba jest ofiarą niegodziwego traktowania dzieci w celach seksualnych w internecie; niegromadzeniem danych statystycznych o takim poziomie szczegółowości na szczeblu krajowym z uwagi na ograniczenia techniczne lub innego rodzaju ograniczenia; brakiem możliwości dokonania rozróżnienia między ofiarami niegodziwego traktowania dzieci w celach seksualnych w internecie i poza nim itp. W danych statystycznych przekazanych przez niektóre państwa członkowskie uwzględniono również dzieci, które samodzielnie stworzyły tego rodzaju materiały. Co istotniejsze, w danych statystycznych niejednokrotnie nie dokonuje się rozróżnienia między ofiarami zidentyfikowanymi na podstawie zgłoszeń dokonywanych przez dostawców i organizacje działające w interesie publicznym przeciwko niegodziwemu traktowaniu dzieci w celach seksualnych zgodnie z rozporządzeniem a ofiarami zidentyfikowanymi na innej podstawie i w inny sposób.

Obraz sytuacji w kwestii liczby skazanych sprawców również pozostaje niejednolity. W niektórych przypadkach tego rodzaju dane nie są dostępne, ponieważ w bazach danych nie ujmuje się informacji na temat źródła pierwotnego zgłoszenia, a zatem w danych tych nie dokonuje się rozróżnienia między sprawcami skazanymi w następstwie zgłoszeń dokonanych zgodnie z rozporządzeniem a sprawcami skazanymi w następstwie innych zgłoszeń. W niektórych przypadkach w danych przechowywanych w krajowych systemach IT nie dokonuje się również rozróżnienia między przestępstwami popełnianymi w internecie i poza nim. Co więcej, dane statystyczne dotyczące wyroków skazujących przekazane za dany okres niekoniecznie muszą być powiązane ze zgłoszeniami otrzymanymi w tym okresie, ale mogą odnosić się do zgłoszeń z wcześniejszych okresów. Gromadzone dane statystyczne dotyczące liczby wyroków skazujących mogą również nie pokrywać się z danymi dotyczącymi liczby skazanych sprawców (ponieważ w odniesieniu do jednego sprawcy wydanych mogło zostać kilka wyroków skazujących).

Niejednolity charakter danych statystycznych przekazanych przez państwa członkowskie, które nie zawsze gromadzą dane w systematyczny i prawidłowy sposób, a także wszystkie wymienione powyżej czynniki uniemożliwiają zatem uzyskanie kompleksowego oglądu sytuacji w kwestii otrzymanych sprawozdań dotyczących niegodziwego traktowania dzieci w celach seksualnych w internecie, liczby dzieci zidentyfikowanych jako ofiary tego rodzaju przestępstwa ani liczby skazanych sprawców na szczeblu UE zgodnie z rozporządzeniem. Fakt, że w przypadku większości państw członkowskich można odnotować znaczącą rozbieżność między liczbą zgłoszeń, które NCMEC odnotowuje jako przekazane państwu członkowskiemu, a liczbą zgłoszeń, które to państwo członkowskie odnotowuje jako otrzymane, sugeruje że mechanizm gromadzenia i zgłaszania danych nie jest w pełni funkcjonalny. Niektóre państwa członkowskie potwierdziły, że ich właściwe organy są poddawane zmianom strukturalnym lub przechodzą reorganizację w związku z utworzeniem nowych departamentów odpowiedzialnych za prowadzenie postępowań przygotowawczych w sprawach dotyczących niegodziwego traktowania dzieci w celach seksualnych w internecie. W niektórych państwach członkowskich wdrażane są również nowe systemy IT, a organy krajowe zostały poproszone o wprowadzenie zmian w swoich procedurach rejestracji oraz w sposobie gromadzenia danych statystycznych. Działania te powinny stworzyć warunki sprzyjające przekazywaniu przez państwa członkowskie bardziej precyzyjnych danych statystycznych w przyszłości. W każdym razie Komisja będzie korzystała z uprawnień przysługujących jej na mocy Traktatów w celu zagwarantowania wywiązywania się przez państwa członkowskie z obowiązków sprawozdawczych spoczywających na nich zgodnie z rozporządzeniem tymczasowym.

Kwestie ogólne

Ogólnie rzecz biorąc, w niniejszym sprawozdaniu zwrócono uwagę na znaczne rozbieżności, jeżeli chodzi o przekazywanie danych dotyczących zwalczania niegodziwego traktowania dzieci w celach seksualnych w internecie, zgodnie z rozporządzeniem tymczasowym zarówno przez dostawców, jak i przez państwa członkowskie. Większy stopień normalizacji dostępnych danych oraz sposobu ich przekazywania, który można osiągnąć, podejmując działania przewidziane we wniosku dotyczącym rozporządzenia w sprawie zapobiegania niegodziwemu traktowaniu dzieci w celach seksualnych i jego zwalczania 36 , przyczyniłby się do uzyskania przejrzystszego obrazu sytuacji w kwestii istotnych działań na rzecz zwalczania tego rodzaju przestępstw. Wydaje się, że dostawcy i państwa członkowskie muszą dołożyć dodatkowych starań, aby zapewnić gromadzenie i zgłaszanie danych zgodnie z wymogami rozporządzenia tymczasowego.

Z dostępnych danych wynika, że w ramach aktualnie obowiązującego systemu dobrowolnego wykrywania i zgłaszania może dojść do sytuacji, w której materiały automatycznie oznaczone jako potencjalne materiały przedstawiające niegodziwe traktowanie dzieci w celach seksualnych okażą się – po ich zweryfikowaniu przez człowieka – nie być takimi materiałami. Może to wynikać z braku wspólnego zestawu skrótów i innych wskaźników wykorzystywanych do wykrywania materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych potwierdzonych jako nielegalne w UE lub z różnic w normach prawnych między poszczególnymi jurysdykcjami, w szczególności między UE a Stanami Zjednoczonymi, w szczególności jeżeli chodzi o odpowiednie definicje. Dane świadczą również o istnieniu dużych różnic pod względem liczby wniosków odwoławczych i wskaźnika powodzenia takich wniosków, przy czym trudno wyciągnąć na ich podstawie konkretne wnioski, zważywszy na brak informacji dotyczących w szczególności zakresu wniosków odwoławczych i powodów przywrócenia usuniętych treści.

Jeżeli chodzi o ustanowione w art. 9 ust. 2 wymogi dotyczące warunków przetwarzania, z przekazanych informacji wynika, że wykorzystywane technologie odpowiadają zastosowaniom technologicznym opracowanym wyłącznie z myślą o wykrywaniu i usuwaniu dostępnych w internecie materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych i zgłaszaniu takich materiałów organom ścigania i organizacjom działającym w interesie publicznym przeciwko niegodziwemu traktowaniu dzieci w celach seksualnych. Nie przedstawiono żadnych informacji dotyczących tego, czy technologie te są wdrażane zgodnie z aktualnym stanem wiedzy naukowej i technicznej i w sposób jak najmniej naruszający prywatność, a także czy przeprowadzono uprzednią ocenę skutków dla ochrony danych, o której mowa w art. 35 rozporządzenia (UE) 2016/679, i uprzednie konsultacje, o których mowa w art. 36 tego rozporządzenia.

Jeżeli chodzi o proporcjonalność rozporządzenia, kluczową kwestią pozostaje ustalenie, czy rozporządzenie tymczasowe zapewnia możliwość osiągnięcia poszukiwanej przez prawodawcę Unii równowagi między realizacją leżącego w interesie ogólnym celu polegającego na skutecznym zwalczaniu niezwykle poważnych przestępstw będących przedmiotem tego rozporządzenia i koniecznością zagwarantowania ochrony praw podstawowych dzieci (godności, integralności, zakazu nieludzkiego lub poniżającego traktowania, prawa do życia prywatnego, praw dziecka), z jednej strony, a ochroną praw podstawowych użytkowników stosownych usług (prywatności, ochrony danych osobowych, wolności wypowiedzi, prawa do skutecznego środka zaskarżenia), z drugiej strony. Dostępne dane są niewystarczające do wyciągnięcia wiążących wniosków w tym zakresie. Stosowanie norm liczbowych przy ocenianiu takiej proporcjonalności i opieranie się na liczbie dzieci, które udało się uratować, nie jest możliwe ani nie byłoby właściwe, biorąc pod uwagę negatywny wpływ, jaki niegodziwe traktowanie w celach seksualnych wywiera na życie i prawa dziecka. W świetle powyższego brak jest jednak przesłanek świadczących o tym, że zastosowanie odstępstwa nie jest proporcjonalne.

Pomimo niedociągnięć w dostępnych danych, które uniemożliwiają zapoznanie się ze sposobem wykorzystywania dobrowolnych zgłoszeń w znacznej liczbie państw członkowskich, z dostępnych danych jednoznacznie wynika, że w okresie sprawozdawczym udało się zidentyfikować tysiące dzieci, wydać ponad dwa tysiące wyroków skazujących i usunąć z obiegu miliony zdjęć i filmów, ograniczając tym samym skalę zjawiska wtórnej wiktymizacji. Istnieją zatem podstawy do stwierdzenia, że mechanizm dobrowolnego zgłaszania w istotny sposób wzmocnił ochronę znacznej liczby dzieci, w tym również przed trwającym niegodziwym traktowaniem, i można uznać, że rozporządzenie tymczasowe jest skuteczne.

(1)

   Twitter przedłożył sprawozdanie przed zmianą nazwy; w dalszej części niniejszego sprawozdania będzie określany jako „X”.

(2)

   Przedsiębiorstwa Meta i X nie określiły wyraźnie konkretnego artykułu.

(3)

   Przedsiębiorstwa Meta i X nie określiły wyraźnie konkretnego artykułu. 

(4)

     Dostawcy wskazani w nawiasach to dostawcy, którzy wyraźnie zgłosili konkretne środki. Brak niektórych dostawców w wykazie nie oznacza, że nie wdrażają oni danego środka, ale jedynie, że wskazali go w swoim sprawozdaniu.

(5)

     Polityka prywatności platformy X, 4.„Jak długo przechowujemy informacje”, dostępne pod adresem: https://twitter.com/pl/privacy

(6)

     Dostawcy wskazani w nawiasach to dostawcy, którzy wyraźnie zgłosili konkretne środki. Brak niektórych dostawców w wykazie nie oznacza, że nie wdrażają oni danego środka, ale jedynie, że wskazali go w swoim sprawozdaniu.

(7)

   Informacje na temat organizacji działających w interesie publicznym, którym dostawcy usług zgłaszają niegodziwe traktowanie dzieci w celach seksualnych w internecie na podstawie tego rozporządzenia, opublikowano na stronie internetowej https://home-affairs.ec.europa.eu/policies/internal-security/child-sexual-abuse/legal-framework-protect-children_en zgodnie z obowiązkami Komisji wynikającymi z art. 8 ust. 2 rozporządzenia tymczasowego.

(8)

   Sprawozdanie przedłożone przez Niemcy zgodnie z art. 8 rozporządzenia (UE) 2021/1232, otrzymane 18 października 2022 r. NCMEC publikuje wszystkie dane dotyczące otrzymanych zgłoszeń, które dotyczą państw członkowskich, w tym Niemiec, w swoich sprawozdaniach CyberTipline Reports dla poszczególnych państw. Zob.: NCMEC, Sprawozdania CyberTipline dla poszczególnych państw za 2021 r. , data uzyskania dostępu: lipiec 2023 r.; NCMEC, Sprawozdania CyberTipline dla poszczególnych państw za 2022 r., data uzyskania dostępu: lipiec 2023 r.;

(9)

     https://www.bka.de/SharedDocs/Kurzmeldungen/DE/Kurzmeldungen/230623_Mindestspeicherfristen_IP-Adressen.html

(10)

   NCMEC, Sprawozdania CyberTipline dla poszczególnych państw za 2021 r., data uzyskania dostępu: listopad 2023 r.;

(11)

   NCMEC, Sprawozdania CyberTipline dla poszczególnych państw za 2022 r., data uzyskania dostępu: listopad 2023 r.;

(12)

     Dane NCMEC są dostępne tutaj .

(13)

     Zob. na przykład wykaz przykładowych spraw z całej UE, w których postępowania wszczęto dzięki dobrowolnym zgłoszeniom dokonywanym przez przedsiębiorstwa, przedstawiony w ocenie skutków towarzyszącej wnioskowi dotyczącemu rozporządzenia w sprawie zapobiegania niegodziwemu traktowaniu dzieci w celach seksualnych i jego zwalczania (zob. w szczególności załącznik 7).

(14)

     Dostawcy nie uznają metadanych za skuteczne narzędzie w kontekście wykrywania materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych. Zob. w szczególności Pfefferkorn, R., Stanford Internet Observatory, Content-Oblivious Trust and Safety Techniques: Results from a Survey of Online Service Providers, 9 września 2021 r., s. 10–11.

(15)

     Microsoft, Dział ds. Cyberprzestępczości .

(16)

      Zeznania Hany’ego Farida, twórcy PhotoDNA, dotyczące wspierania rozwoju bardziej przyjaznego internetu w celu ochrony konsumentów złożone przed Komisją Izby Reprezentantów USA ds. Energii i Handlu, 16 października 2019 r.  

(17)

     Internet Watch Foundation (IWF), sprawozdanie roczne za 2022 r. , s. 129–133.

(18)

     Zob. tutaj i tutaj , aby zapoznać się z dodatkowymi informacjami na temat stosowanego przez Facebook narzędzia umożliwiającego aktywne wykrywanie nagości dzieci i wcześniej nieznanych treści przedstawiających niegodziwe traktowanie dzieci przy wykorzystaniu sztucznej inteligencji i uczenia maszynowego.

(19)

     Pfefferkorn, R.: Content-Oblivious Trust and Safety Techniques: Results from a Survey of Online Service Providers, Journal of Online Trust and Safety, luty 2022 r., s. 1–38.

(20)

     Thorn, Thorn’s Automated Tool to Remove Child Abuse Content at Scale Expands to More Platforms through AWS Marketplace , 24 maja 2021 r.

(21)

     Narzędzie Project Artemis firmy Microsoft zostało opracowane we współpracy z The Meet Group, Roblox, Kik i Thorn.

(22)

   Więcej informacji można znaleźć pod adresem: https://safety.twitch.tv/s/article/Our-Work-to-Combat-Online-Grooming?language=pl  

(23)

     Roblox filtruje posty i chaty graczy do 12. roku życia pod kątem nieodpowiednich treści, a także aby nie dopuścić do opublikowania danych osobowych, np. adresu miejsca zamieszkania. Wspomniany system filtrowania obejmuje wszystkie rodzaje komunikacji za pośrednictwem platformy Roblox, zarówno publiczne, jak i prywatne. Roblox, Safety Features: Chat, Privacy & Filtering , data uzyskania dostępu: lipiec 2023 r.

(24)

     Tech Coalition, New Technology to Help Companies Keep Young People Safe , 20 czerwca 2023 r.

(25)

     Tech Coalition, New Technology to Help Companies Keep Young People Safe , 20 czerwca 2023 r.

(26)

     DALL-E to system AI, który jest w stanie tworzyć realistyczne obrazy i dzieła sztuki na podstawie opisu w języku naturalnym.

(27)

     Midjourney to program i usługa bazujące na generatywnej sztucznej inteligencji, które pozwalają tworzyć obrazy na podstawie opisów w języku naturalnym.

(28)

     Europol, ChatGPT – The impact of Large Language Models on Law Enforcement , 2023, ISBN 978-92-95220-57-7, s. 7.

(29)

     Swanson, S. M., ChatGPT Generated Child Sex Abuse When Asked to Write BDSM Scenarios , Vice, 6 marca 2023   r.; Mitchell, A., ChatGPT gives sick child sex abuse answer, breaking its rules, New York Post, 24 lipca 2023   r. Europol, ChatGPT – The impact of Large Language Models on Law Enforcement , 2023, ISBN 978-92-95220-57-7, s. 5.

(30)

     Fowler, G.A., Snapchat tried to make a safe AI. It chats with me about booze and sex , The Washington Post, 14 marca 2023 r.; Vincent, J., Instagram is apparently testing an AI chatbot that lets you choose from 30 personalities , The Verge, 7 lipca 2023 r.

(31)

     Crawford, A., Smith, T., Illegal trade in AI child sex abuse images exposed , BBC, 27 czerwca 2023 r.

(32)

     Thiel, D., Stroebel, M. i Portnoff, R. (2023). Generative ML and CSAM: Implications and Mitigations . Stanford Digital Repository. Dostępne pod adresem https://purl.stanford.edu/jv206yg3793 . https://doi.org/10.25740/jv206yg3793 s. 2.

(33)

     Protect Children, Protect Children’s research in the dark web is revealing unprecedented data on CSAM users , 6 czerwca 2021 r.; RAINN, What is Child Sexual Abuse Material (CSAM) , 25 sierpnia 2022 r.

(34)

     Breck Foundation, Is artificial intelligence putting children at risk? , 9 lutego 2023   r., zaktualizowano 3 kwietnia 2023   r.

(35)

     Butler, J., AI tools could be used by predators to ‘automate child grooming’, eSafety commissioner warns , The Guardian, 19 maja 2023   r.

(36)

   Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego przepisy mające na celu zapobieganie niegodziwemu traktowaniu dzieci w celach seksualnych i jego zwalczanie, COM(2022) 209 final .