Suomen eduskunnassa eri valiokunnissa käsitellään Suomen kantaa niin sanottuun CSAM-asetukseen. Asetusehdotuksesta on käyty vilkasta keskustelua puolueiden yhteisessä tietopolitiikkaryhmässä, jossa on vahvaa asiantuntemusta yli puoluerajojen. Tähän avoimeen kirjeeseen on sisällytetty tietopolitiikkaryhmän keskeiset näkemykset.
Mitä on grooming ja mitä CSAM?
Grooming tarkoittaa lasten houkuttelemista ja manipulointia seksuaaliseen hyväksikäyttöön, usein viestinnän välityksellä, kuten chat-sovellusten tai sosiaalisen median kautta.
CSAM tai CSA-materiaali (Child Sexual Abuse Material) viittaa lasten seksuaalista hyväksikäyttöä kuvaavaan materiaaliin, kuten kuviin tai videoihin, jotka sisältävät lasten hyväksikäyttöä.
Yhteys näiden välillä on siis siinä, että grooming voi johtaa tilanteisiin, joissa lasta käytetään hyväksi ja hänen hyväksikäytöstään tuotetaan CSA-materiaalia. Groomingin estäminen voi osaltaan estää myös uuden CSA-materiaalin syntymisen.
Mikä CSAM-asetus?
Euroopan jäsenmaiden neuvostossa käsittelyssä on nyt niin sanottu CSAM-asetus, jonka tavoitteena on torjua ja ennaltaehkäistä lapsiin kohdistuvaa seksuaalista väkivaltaa.
Asetusehdotus pyrkii puuttumaan erityisesti CSA-materiaalin levittämiseen, mutta ei groomingiin. Se asettaa palveluntarjoajille velvoitteita riskien hallintaan, havaitsemiseen, raportointiin ja CSA-materiaalin poistamiseen liittyen.
Asetusta kutsutaan myös nimellä Chat Control, koska sen nykyiseen muotoon sisältyy merkittäviä sähköisen viestinnän massavalvonnan mahdollistavia keinoja. Asetus antaisi mahdollisuuden kansalaisten verkkoviestinnän automatisoituun seulontaan. Tämän takia asetusta kohtaan on esitetty poikkeuksellisen paljon vastustusta eri tahoilta. Lukuisat seksuaaliväkivallasta selvinneet ovat kritisoineet ehdotusta, samoin uhrien auttamiseen tähtäävät järjestöt Saksasta ja Espanjasta, Saksan ja Alankomaiden Nettivihjeet, saksalainen lastensuojelujärjestö, FBI, Edward Snowden, melkein 500 tiedemiestä ja tutkijaa kyberturvallisuuden ja tietosuojan alalta, 47 ihmisoikeusjärjestöä sekä Euroopan ammatillisten informatiikkayhdistysten neuvosto (CEPIS). Ja lukuisat muut, eurooppalaisen digitaalisia oikeuksia puolustavan EDRi-järjestön listaus on hengästyttävä.
Alkuperäistä asetusehdotusta on joiltain osin parannettu, mutta sen perustavanlaatuiset valuviat ovat säilyneet. Nykyinen Unkarin laatima esitysluonnos avaa suuria riskejä väärinkäytöksiin ja toisaalta asetuksen antamat keinot todellisen ongelman torjumiseen ovat varsin heikot.
Tässä Tietopolitiikkaryhmän terveiset tiivistetysti
Tavoite kirkkaana mielessä: Lapsiin kohdistuva seksuaalinen väkivalta on yleistyvä rikosmuoto, jonka vaikutukset uhreihin ovat elinikäisiä, toimenpiteiden tarve on kiistaton. Kannatamme pyrkimystä luoda EU-tasolla selkeä lainsäädäntö tällaisen väkivallan torjumiseksi ja ennaltaehkäisemiseksi verkossa, mutta tämä tulee toteuttaa ilman viestisisällön skannausta.
Huolellinen valmistelu: Nyt on voimassa vuoteen 2026 saakka väliaikainen poikkeusasetus yleiseen ePrivacy-sääntelyyn. Poikkeusasetus antaa palveluntarjoajille vapauksia oma-aloitteiseen haitallisen materiaalin tunnistamiseen. Kyseessä ei ole valtiovallan määräämä velvoite tehdä skannausta. Vaikutuksiltaan ja laajuudeltaan nykyinen poikkeusasetus ja ehdotettu pysyvä CSAM-asetus luovat aivan eri luokan riskejä perusoikeuksille. Tämän takia pysyvän asetuksen valmistelu on tehtävä erityisellä huolella ja tarvittaessa poikkeusasetuksen aikarajaa jatkamalla. Ei ole mitään perustetta, että nimenomaan Unkarin puheenjohtajakaudella tämä asetus pitäisi hyväksyä. On suuri riski siihen, että hätiköiden tehtävä ratkaisu on sellainen, ettei se tyydytä sen enempää asetuksen kannattajia kuin vastustajiakaan. Pahimmillaan se on tehoton tarkoitukseensa, mutta kuitenkin heikentäisi laajasti tietoturvaa ja viestinnän suojaa. Mahdollisuus kaikkia tyydyttävään ratkaisuun on löydettävissä, mikäli viestisisällön skannauksesta luovutaan ja vastaavasti voimistetaan asetuksen keinoja groomingin ehkäisyyn.
Yksityisyyden ja perusoikeuksien loukkaaminen: Milloin viimeksi olet lähettänyt jollain pikaviestimellä kuvan, videon tai linkin? Linkkien, kuvien ja videoiden lähettäminen on niin arkinen osa ihmisten digitaalista viestintää, että niihin kohdistettu viestien massavalvonta rikkoo viestinnän luottamuksellisuuden periaatetta, altistaen yleisiä viestintäsovelluksia työssään tai arjessaan käyttävät kansalaiset jatkuvalle seurannalle ilman perusteltua epäilyä. Tämä on ristiriidassa perusoikeuksien kanssa. Vaikka kuvien, videoiden ja linkkien skannaaminen tehtäisiin käyttäjän suostumuksella ja sovellusten käyttö pelkästään linkkejä sisältämättömien tekstimuotoisten viestien lähettämiseen olisi mahdollista ilman suostumusta ei muuta sitä tosiasiaa, että kyseessä on kohdentamaton massavalvonta. Valtaosa sadoista miljoonista eurooppalaisista pikaviestinten käyttäjistä antaisi suostumuksen, mahdollistaakseen normaalin digitaalisen viestinnän. Vaikka teknologia ei ”lue” viestejä, se seuraa viestien sisältöä automatisoiduin keinoin.
Päästä päähän -salauksen purkaminen: Sähköisen viestinnän päästä päähän salaus mahdollistaa kirjesalaisuuden säilymisen digitaalisessa viestinnässä niin, ettei millään taholla (mukaan lukien itse viestintäalustat) ole mahdollisuutta seurata viestiliikenteen sisältöä. Tällaista salausta käyttävät mm. Signal ja WhatsApp. Esitysluonnoksen mukaan päästä päähän salaus teknisesti säilytettäisiin, mutta käytännössä se murennettaisiin toteuttamalla viestisisällön skannaus ennen viestin lähettämistä. Jos viestit skannattaisiin ennen salausta, se olisi sama kuin kirjeiden tarkastaminen ennen niiden sulkemista. Tämä romuttaisi salauksen tarkoituksen ja suojauksen ja merkitsisi käytännössä perustuslain kieltämää valtion määräämää ennakkosensuuria.
Väärinkäytön ja laajentumisen riski: Mikäli teknologinen mahdollisuus viestien skannaukseen on olemassa, sama järjestelmä voidaan ottaa helposti myös muuhun käyttöön tulevaisuudessa – olkoon käyttötarkoitus vihapuheen estäminen, lapsille sopimattoman sisällön karsinta, terroristisen puheen poistaminen tai liikesalaisuuksien turvaaminen, järjestelmää voidaan jatkossa käyttää myös moniin muihin tarkoituksiin. Julkisessa keskustelussa on virheellisesti väitetty, että työkalut CSAM:n havaitsemiseen olisivat rajattavissa vain tähän käyttötarkoitukseen. Ehdotetut läpivalaisu ja hash-tekniikat, ovat kuitenkin yleiskäyttöisiä ja ne voidaan helposti uudelleenohjelmoida muun sisällön tunnistamiseen lisäämällä ei-CSAM-sisältöjä tunnistetietokantaan. Tämä voi tapahtua joko vakoilutoiminnan tai muun rikollisen toiminnan kautta tai virallisesti valtiollisen tiedustelu- tai muun lainsäädännön nojalla. Esimerkiksi Wall Street Journal raportoi 4.10.2024 Kiinan tiedustelupalvelun pystyneen kuukausien ajan hyödyntämään Yhdysvaltain signaalitiedusteluun tarkoitettuja takaovia palveluntarjoajien verkkoihin.
Turvallisuusongelmat: Järjestelmien monimutkaistaminen lisää haavoittuvuuksia, jotka voivat heikentää koko viestintäinfrastruktuurin turvallisuutta ja altistaa sen hyökkäyksille. Eli vaikka viranomaiset käyttäisivät skannausteknologiaa vain valvotusti ja tarkkarajaisesti, sama teknologinen mahdollisuus skannaukseen on altis rikollisten toimijoiden ja vieraiden valtioiden hyökkäyksille. Joissain yhteyksissä ehdotettu puhelimien käyttöjärjestelmien tasolla toteutettava skannauskyvykkyys olisi vielä huonompi vaihtoehto, koska se altistaisi turvallisuusuhille myös ne ihmiset, jotka eivät edes käytä kyseisiä viestisovelluksia.
Teknologian tehottomuus ja virheriski: Skannausteknologiat ovat alttiita virheille, mikä voi johtaa viattomien ihmisten väärään syyllistämiseen. Lisäksi virheellinen data kuormittaa viranomaisia ilman konkreettisia tuloksia. Ei ole kehitetty sellaisia CSA-materiaalin tunnistamiseen käytettäviä teknologioita, jotka olisivat tarkkoja. Pikaviestinten käyttövolyymi on niin valtava, että ollakseen tehokkaita, skannaukseen käytettävien suodattimien virhemarginaalin tulisi olla äärimmäisen pieni. Komissio oletti omassa sisäisessä keskusteluasiakirjassa, että teknologioilla saatettaisiin saada jopa 10% virheellisiä positiivisia tuloksia. EU-alueella päivittäin lähetettävien kuvia, videoita tai linkkejä sisältävien viestien määrä lasketaan sadoissa miljoonissa. Vaikka tarkkuus olisi paljonkin komission oletusta parempi, niin väärien positiivisten päivittäinen määrä olisi satojen tuhansien luokkaa. Iso-Britannian kansallinen rikosvirasto seuloo nykyisellään vuositasolla 100 000 hälytystä, ja tähän työhön tarvitaan 200 työntekijää.
Rikoksentekijöiden jäljittäminen: Virheellinen data ja kuormittaa viranomaisia ilman konkreettisia tuloksia. Monissa maissa kerätty data ei ole johtanut konkreettisiin tuloksiin. Vaikka skannausteknologian käyttö voi lisätä raportoitujen CSAM-epäilyjen määrää, tämä ei välttämättä tarkoita, että materiaalin leviämistä pystytään tehokkaasti vähentämään. Esimerkiksi Sveitsissä 80 % CSAM-tapauksista ei johtanut toimenpiteisiin ja Irlannin poliisin vuoden 2020 aikana saamista CSAM-epäilyjen raporteista alle 10% oli sellaisia, joiden nojalla oli mahdollista tehdä toimenpiteitä levittäjien kiinni saamiseksi. Keskittyminen rikoksentekijöiden aktiiviseen jäljittämiseen ja ennaltaehkäisyyn on tehokkaampaa resurssien käyttöä poliisilta. Lisäksi tunnistamisvelvoitteen olemassaolo kiihdyttäisi tunnistamisen kiertävien teknologioiden kehittämistä, mikä heikentää toimenpiteiden tehokkuutta.
Teknologian rajoitukset ja kiertomahdollisuudet: Ehdotettu hash-tekniikka on helposti kierrettävissä, eikä teknologia ole riittävän kehittynyttä takaamaan luotettavaa tunnistusta. On selvää, että mikäli ennakkoskannauksen velvoittavuus tulisi voimaan, CSA-materiaalia levittävät rikolliset siirtyisivät käyttämään muita alustoja tai niin sanotun pimeän verkon palveluja, joihin sääntely ei ulotu. Jäljelle jäisi vain sääntelyn aiheuttamat turvallisuuden ja yksityisyyden heikennykset koskemaan kaikkia normaaleja viestintäalustojen käyttäjiä. Avoimen verkon puolella tulee keskittyä erityisesti groomingin torjuntaan, koska lapset ja nuoret käyttävät avoimen verkon palveluja.
Mitä pitäisi tehdä?
Sen sijaan, että nojaudutaan viestien automaattiseen skannaukseen tulisi keskittyä todistetusti toimiviin keinoihin lasten hyväksikäytön ehkäisemiseksi. Tärkeää CSAM-asetusta olisi mahdollista viedä tähän suuntaan, jolloin puututtaisiin oikeaan asiaan keinoilla, jotka olisivat tehokkaita, eivätkä aiheuttaisi riskejä muualla.
Ilmiantotoiminnot: Jotta verkon kautta toteutettavaa hyväksikäyttöä ja erityisesti groomingia voitaisiin ehkäista tehokkaasti, tulisi lasten ja nuorten käyttämiä verkkopalveluja, kuten TikTokia ja Snapchatia, velvoittaa asettamaan raportointitoiminto näkyvästi alustoilleen ja tiedottamaan käyttäjiä verkkoriskeistä. Raportointitoiminnot tulisi kytkeä kansallisten viranomaisten ja neuvontapalveluiden kanssa hyväksikäytön vähentämiseksi ja uhrien auttamiseksi.
Suunnitteluperiaatteet: Valmiita periaatteita, kuten “Children’s rights-by-design” ja “Safety by design”, on jo olemassa ja tekemällä niistä velvoittavia voitaisiin teknologiaympäristöjen turvallisuutta parantaa ennaltaehkäisevästi.
Filtteröinti vastaanottajapäässä: Viestien skannaus voidaan toteuttaa viestintäsalaisuutta rikkomatta käyttäjän toiveesta vastaanottajan päässä vastaavalla tavalla, kuin automaattinen spämmifiltteri sähköpostissa. Näin lasten ruuduille ei päätyisi epäsopivaa sisältöä.
Pyydämme teitä harkitsemaan näitä näkökulmia huolellisesti. On tiedossa, että esitystä vastustetaan parlamentissa laajasti, ja trilogeissa on vaikea muovata hyvää ehdotusta. Olisi parempi, että neuvosto valmistelee tasapainoisemman ehdotuksen trilogien pohjaksi. Lapsia on mahdollista suojella tehokkaasti vaarantamatta kansalaisten perusoikeuksia ja yksityisyyttä.
EDIT: Ensimmäinen versio kirjeestä julkaistiin 9.10.2024. Tähän 15.10.2024 versioon on palautteen nojalla päivitetty alkuun taustoitus groomingista, CSAM:ista ja käsitteillä olevasta asetuksesta, sekä tietopolitiikkaryhmän terveisiin kohta “Huolellinen valmistelu”. Samalla on tehty joitain muita tarkennuksia ja täydennyksiä.