布鲁塞尔数字市场法案研讨会回顾/总结

本周一，我前往布鲁塞尔参加了由欧盟委员会组织的数字市场法案 (DMA) 利益相关者研讨会。对于那些不熟悉 DMA 的人来说，这是一项欧洲议会最近投票通过的新法律，其目标之一是强制消息服务之间的互操作性，允许小型参与者与所谓的“守门人”（例如 WhatsApp）的用户进行通信。

我作为 KDE 和 NeoChat 的代表参加了这次会议。NeoChat 是 Matrix 协议（一种去中心化和端到端加密的聊天协议）的客户端。几年前的疫情封锁期间，我与托比亚斯·费拉一起开始开发它。

我通过 NLNet 了解到了这次研讨会，他们资助了之前关于 NeoChat 的工作（端到端加密）。他们将托比亚斯·费拉和我介绍给了欧盟委员会 NGI0 的项目官员让-吕克·多雷尔。我从未想过，因为我对开源项目的贡献，我竟然能够坐在布鲁塞尔的会议室里。

我作为志愿者在空闲时间开发 NeoChat 和其他 KDE 应用程序，所以在研讨会上我只是一个小角色，但这对我来说非常有启发意义。我原本以为房间里会挤满律师和游说者，这在某种程度上是真的。相当多的与会者是那些在整个研讨会期间保持沉默、代表大型公司并且主要做笔记的人。

幸运的是，房间里也有一些更懂技术的好人。例如，来自 Element/Matrix.org、XMPP、OpenMLS、开源倡议 (OSI)、NlNet、欧洲数字权利 (EDRi) 和消费者保护协会的人。

研讨会由三个小组讨论组成。第一个小组讨论更general，后两个小组讨论更技术性。

小组讨论 1：DMA 第 7 条的范围、权衡和潜在挑战

这个小组讨论的代表性特别好，包括一个消费者保护组织、欧洲数字权利组织和一位大学教授，他们都赞成 DMA 和互操作性组件。西蒙·菲普斯发起了一场讨论，讨论像 Meta 这样的守门人是否也应该被强制与小型自托管的 XMPP 或 Matrix 实例互操作，或者这是否只针对相对较大的参与者。我了解到，不幸的是，虽然社交网络曾经是 DMA 草案的一部分，但现在不要求它们互操作。如果埃隆早点收购 Twitter，这可能也会成为最终文本的一部分。

从这个小组讨论中，我特别赞赏 EDRi 的简·彭弗拉特的评论，他提到这不是一个技术或标准化问题，并指出一些可能的解决方案，如 XMPP 或 Matrix，早已存在。还有一些问题没有得到解答，比如如何强制守门人合作，因为听众中的一些人担心他们会不必要地增加互操作的难度。

在这个小组讨论之后，我们吃了简短的午餐，这对我来说是一个与房间里的 Matrix、XMPP 和 NlNet 人员进行一些交流的机会。

小组讨论 2：端到端加密

这个小组讨论有来自辩论双方的人员。密码学研究员保罗·罗斯勒试图向听众中的非技术人员解释端到端加密的工作原理，我认为他做得很好。接下来，我们请到了 Mozilla 的 CTO 埃里克·雷斯科拉，他也对端到端加密提供了一些额外的见解。

思科也在场，他们介绍了他们将其他平台与 Webex 集成的相对成功案例（例如 Teams 和 Slack）。这种大型参与者之间的“互操作性”与我希望看到的互操作性方向明显不同。但这也是一个很好的例子，表明当两个大型公司想要集成在一起时，突然就没有技术难题了。思科还在开发一种新的消息传递标准（这让我想起了 xkcd 927），作为 IETF MIMI 工作组的一部分，他们已经将其部署到生产环境中。

接下来是 Matrix 的环节，Element 的 CEO/CTO 马修·霍奇森现场演示了客户端桥接。这是他们提出的跨协议桥接端到端加密消息的解决方案，而无需解密第三方服务器内部的内容。这种解决方案将是一个临时解决方案；理想情况下，服务将趋同于像 Matrix、XMPP 或其他新协议这样的开放标准协议。他指出，苹果已经在 iMessage 和 SMS 中这样做了。我发现这特别聪明。

最后，Meta 派了一位律师来代表他们。这位律师用非常空洞的语气念着一张纸。他用完所有分配的时间告诉委员会，互操作性对其用户来说代表着非常明显的风险，这些用户信任 Meta 来保护他们的数据安全和端到端加密。他无视马修之前的演示，并告诉我们桥接会破坏他们的加密。他还设想了一个明确的互操作性选择加入政策，以便用户意识到这将削弱他们的安全性，并表示在与其他网络用户互动时，明确需要同意弹出窗口。这真是讽刺，Meta 在 GDPR 和数据保护的背景下，反对选择加入政策和同意。正如听众中的某人指出的那样，虽然 Whatsapp 是端到端加密的，但 Messenger 和 Instagram 对话并非如此，而它们都是 Meta 的产品。这位律师迅速驳回了这一点，并解释说他在这里只代表 Whatsapp，无法回答其他 Meta 产品的这个问题。正如您可能猜到的那样，听众并没有被这些论点说服。不过，值得注意的是，Meta 至少有勇气在听众面前发言，这与其他大型守门人（如微软、苹果和谷歌）不同，后者也在房间里，但根本没有参与辩论。

小组讨论 3：滥用预防、身份管理和发现

Meta 再次出现在小组讨论中，同意再次成为热门话题。一些人认为，每次有来自其他服务器的人加入房间时，每个用户都应该同意，以便这个新服务器可以读取他们的消息。这在我看来非常不切实际，但我猜目的是让互操作性变得不切实际。这也让我想起了 GDPR 弹出窗口，其中侵犯隐私的服务试图优化使用“黑暗模式”，以便用户点击“允许”按钮。在这种情况下，用户将被提示点击“不要与来自这个不受信任和可怕的第三方服务器的用户连接”按钮。

会上讨论了是服务器的角色来决定是否允许来自第三方服务器的连接，还是用户的角色。前者意味着大型提供商将只允许其他大型提供商访问他们的服务，并阻止小型自托管实例访问。后者将给用户一个选择。另一个话题是标识符。听众中的一位人士指出，Whatsapp、Signal 和 Telegram 使用的电话号码目前并不完美，因为它们在不同服务之间不是唯一的，可能需要一些标准化。

最后，欧盟委员会试图总结当天分享的所有信息，听起来非常高兴有这么多技术人员在场并积极参与对话。

在最后的小组讨论结束后，我与来自 XMPP、EDRi、NlNet 和 OpenMLS 的一些人一起去了会议大楼旁边的酒吧，喝啤酒和吃比利时薯条。

本文最初发表在 CarlSchwan.eu

布鲁塞尔研讨会 的图片，作者：卡尔·施万