También se han añadido muchas otras ideas al proyecto de ley. El texto actual incluye controles de edad para sitios de pornografía y medidas contra anuncios fraudulentos y el intercambio no consensuado de imágenes de desnudos.
A medida que el proyecto de ley se acerca a su aprobación, la disputa más polémica (y, en el corto plazo, trascendente) sobre su contenido no es sobre qué contenido en línea debería ser ilegal en línea, sino sobre las implicaciones de las propuestas del gobierno para la privacidad. El borrador actual dice que las plataformas como las aplicaciones de mensajería deberán utilizar “tecnología acreditada” para escanear mensajes en busca de material CSAM. Eso, dicen las empresas de tecnología y los expertos en ciberseguridad, es una prohibición de facto del cifrado total de mensajes de extremo a extremo. Con el cifrado de extremo a extremo, solo el remitente y el destinatario de un mensaje pueden leer el contenido de un mensaje.
El gobierno del Reino Unido dice que depende de las empresas tecnológicas encontrar una solución técnica a ese conflicto. «Están diciendo de manera bastante falsa: ‘No vamos a tocar el cifrado de extremo a extremo, no es necesario descifrar nada'», dice Alan Woodward, profesor visitante de ciberseguridad en la Universidad de Surrey. “La conclusión es que las reglas de las matemáticas no permiten hacer eso. Y básicamente regresan y dicen: ‘Nerd más duro’”.
Un enfoque posible es el escaneo del lado del cliente, donde un teléfono u otro dispositivo escanearía el contenido de un mensaje antes de cifrarlo y marcaría o bloquearía el material infractor. Pero los expertos en seguridad dicen que eso crea muchos problemas nuevos. «Simplemente no se puede hacer eso y mantener la privacidad», dice Woodward. «El proyecto de ley de seguridad en línea básicamente reintroduce la vigilancia masiva y dice: ‘Tenemos que buscar en cada teléfono, en cada dispositivo, en caso de que encontremos una de estas imágenes'».
Apple había estado trabajando en una herramienta para escanear imágenes en su servicio de almacenamiento iCloud para identificar CSAM, que esperaba pudiera evitar la proliferación de imágenes de abuso sin amenazar la privacidad de los usuarios. Pero en diciembre archivó el proyecto, y en una respuesta reciente a las críticas de organizaciones que hacen campaña contra el abuso infantil, Apple dijo que no quería correr el riesgo de abrir una puerta trasera para una vigilancia más amplia. El argumento de la empresa, del que se hacen eco los defensores de la privacidad y otras empresas tecnológicas, es que si hay una manera de escanear los archivos de los usuarios para un propósito, terminará siendo utilizada para otro, ya sea por delincuentes o por gobiernos intrusivos. Meredith Whittaker, presidenta de la aplicación de mensajería segura Signal, calificó la decisión como «sentencia de muerte” por la idea de que es posible escanear contenido de forma segura en plataformas cifradas.
Signal se ha opuesto abiertamente al proyecto de ley del Reino Unido y ha dicho que podría retirarse del país si se aprueba en su forma actual. Meta ha dicho lo mismo de WhatsApp. Empresas más pequeñas, como Element, que proporciona mensajes seguros a gobiernos (incluido el gobierno del Reino Unido) y militares, dicen que es posible que también tengan que irse. Obligar a las empresas a escanear todo lo que pasa a través de una aplicación de mensajería «sería una catástrofe, porque fundamentalmente socava las garantías de privacidad de un sistema de comunicación cifrado», afirma Matthew Hodgson, director ejecutivo de Element.
Un análisis legal del proyecto de ley encargado por la organización de libre expresión Index on Censorship encontró que otorgaría al regulador británico de telecomunicaciones, Ofcom, mayores poderes de vigilancia que los servicios de seguridad, con controles y equilibrios peligrosamente débiles sobre cómo se utilizan. Las organizaciones de la sociedad civil y los defensores de la privacidad en línea señalan que estos poderes están siendo establecidos por un gobierno que ha tomado medidas enérgicas contra el derecho a protestar y se ha otorgado poderes de gran alcance para vigilar a los usuarios de Internet en virtud de su Ley de Poderes de Investigación de 2016. En julio, Apple protestó contra los cambios propuestos a esa ley, que, según afirma, habrían significado que las empresas de tecnología tendrían que informar al gobierno del Reino Unido cada vez que reparaban violaciones de seguridad en sus productos.