Euroopan unionissa on etenemässä lakiesitys, joka velvoittaa teknologiayhtiöt seulomaan lasten seksuaalista hyväksikäyttöä sisältävää materiaalia palveluissaan. Tietoturva-asiantuntijoiden mukaan toteutuessaan esitys horjuttaisi merkittävällä tavalla digitaalisen viestinnän perusteita ja heikentäisi ihmisten yksityisyydensuojaa.
Euroopan komission kaksi vuotta sitten käynnistämän lakiesityksen tavoitteena on estää hyväksikäyttömateriaalin leviäminen ja grooming eli lapsen houkuttelu seksuaalisiin tarkoituksiin.
Esitys velvoittaa digitaalisten palvelujen tarjoajat tunnistamaan haitallisen materiaalin, ilmoittamaan siitä viranomaisille ja poistamaan materiaalin palveluistaan tai estämään siihen pääsyn. Lisäksi esityksessä ehdotetaan erillisen lapsiin kohdistuvan seksuaaliväkivallan EU-torjuntakeskuksen perustamista Haagiin.
Tällä hetkellä EU-lait eivät velvoita teknologiayhtiöitä aktiivisesti etsimään lasten hyväksikäyttöä sisältävää materiaalia. Ne ovat kuitenkin velvoitettuja ilmoittamaan viranomaisille, kun ne havaitsevat palveluissaan tällaista materiaalia.
Käytännössä kaikki suuret alustayhtiöt seulovat näitä materiaaleja palveluissaan. Esimerkiksi Facebookin, Instagramin ja Whatsappin omistava Meta raportoi viime vuonna Yhdysvalloissa lasten hyväksikäyttöä tutkivalle virastolle NCMEC:lle yli 30 miljoonaa tapausta, joissa se havaitsi lasten seksuaalista hyväksikäyttöä sisältävää materiaalia palveluissaan.
Viime joulukuussa Meta ilmoitti ottavansa oletusarvoisesti käyttöön päästä päähän salauksen palveluissaan. Päästä päähän salauksessa viestin sisältö suojataan niin, ettei viestin välittäjällä ole mahdollisuutta avata sitä. Ainoastaan viestin tarkoitettu vastaanottaja voi nähdä sisällön.
Tämä tarkoittaa, ettei Metalla ole jatkossa samanlaista näkyvyyttä sen palveluissa lähetettyihin sisältöihin. Esimerkiksi päästä päähän salausta laitteissaan hyödyntävä Apple raportoi NCMEC:lle viime vuonna vain 267 tapausta.
EU-komission lakiesitys nousee tästä ongelmasta. Aloite ei suoraan aja päästä päähän salauksen kieltämistä tai vaadi viranomaisille takaporttia viesteihin. Teknologianeutraali esitys ei ota kantaa siihen, millä keinoilla skannaus tehdään, kunhan se tehdään.
Käytännössä tämä tarkoittaa sitä, että jokaisen viestisovelluksen sähköpostista Signaliin ja sosiaalisen median Facebookista Tiktokiin pitäisi jollain keinolla seuloa viestien sisällöt käyttäjän laitteella ennen kuin ne salataan lähettämistä varten.
Komission esitys haastaa liberaalin demokratian perusarvot
Komission esitys on saanut tiukkaa kritiikkiä tietoturva-asiantuntijoilta, joiden mukaan asetus mahdollistaisi uudenlaisen valvontakoneiston. Päästä päähän salausta voimakkaasti vastustava Euroopan poliisivirasto Europol on jo ilmaissut haluavansa käyttää viestien seulomista myös muiden rikosten torjunnassa.
Oulun yliopiston kyberturvallisuuden professori Kimmo Halunen huomauttaa, että kun kyky seuloa sisältöjä on luotu, sitä voidaan käyttää mihin tahansa ja kenen toimesta tahansa. Kyseessä olevat digitaaliset alustat ovat globaaleja toimijoita, joten todennäköisesti kyvykkyys leviäisi myös EU:n ulkopuolelle.
– On selvää, että tähän asiaan pitää puuttua, mutta tämä lainsäädäntö ja siihen liittyvät tämänhetkiset tekniset ajatukset eivät ole niitä parhaita tapoja, Halunen toteaa.
Halunen painottaa, ettei komission ehdottamaan sisältöjen seulomiseen ole olemassa toimivaa teknologista ratkaisua, mikä vain lisäsi viranomaisten työtaakkaa väärien ilmoitusten takia.
Komission lakiesityksen velvoite pitää sisällään jo ennestään tiedossa olevan materiaalin, mutta myös materiaalin, jota ei ole ennen havaittu. Uuden hyväksikäyttömateriaalin tunnistaminen on hankalaa ja nykyisillä järjestelmillä erittäin virhealtista.
Kaksi vuotta sitten New York Times uutisoi tapauksesta, jossa isän Google-tili ja tätä kautta valtaosa digitaalisesta elämästä jäädytettiin, kun tämä oli lääkärin pyynnöstä ottanut kuvan taaperonsa genitaalialueesta ja lähettänyt sen diagnosoitavaksi etävastaanoton yhteydessä. Saman kohtalon on kokenut australialaisäiti, jonka 7-vuotias lapsi latasi Googlen omistamaan Youtube-videopalveluun videon takapuolestaan.
– Jos mietitään, minkälaisessa mittakaavassa viestintää tällä hetkellä hoidetaan digitaalisilla alustoilla, niin pienikin virhemäärä muodostuu todellisuudessa valtavaksi määräksi vääriä positiivisia, joiden seasta sen oikean materiaalin löytäminen on todella haastavaa, Halunen sanoo.
Saman huomion on tehnyt Euroopan parlamentin tutkimuspalvelu EPRS, joka vuosi sitten tyrmäsi komission esityksen omassa selvityksessään.
Viime vuonna Iso-Britannian hallitus ajoi läpi lain, joka määritti digitaalisille palveluille samoja velvoitteita kuin EU:ssa nyt kaavaillaan. Brittihallitus kuitenkin tarkensi, että maan viestintävirasto Ofcom pyytää pääsyä viesteihin vasta, kun toteuttamiskelpoinen teknologia on olemassa. Nyt tätä teknologiaa odotetaan Pohjanmeren molemmin puolin.
Jonkinlaista esimakua saatiin viime kuussa, kun Google julkaisi kehittäjätapahtumassaan tekoälyominaisuuden, joka tunnistaa huijauspuhelun kuuntelemalla puhelinkeskustelua. Tietoturva-asiantuntijat pelkäävät, että Googlen ominaisuus tekee käyttäjän laitteessa tehtävästä skannaamisesta normaalia.
Halunen huomauttaa, että huijauspuheluiden tunnistamisesta on vielä pitkä matka kaiken digitaalisen viestinnän skannaamiseen.
– Vähän tuntuu siltä, että tässä nyt halutaan luottaa sellaiseen teknologiaan, josta kukaan ei tiedä, miten se rakennettaisiin ja miten se saataisiin parhaiten toimimaan, Halunen pohtii.
Hollywood-näyttelijöiden järjestö lobbannut EU-komissiota
Teknologisen ratkaisun puute ei ole hillinnyt alalla toimivia yrityksiä markkinoimasta omia tuotteitaan. Tutkivaan journalismiin erikoistunut Balkan Insight uutisoi viime syksynä, että useat sisältöjen seulomiseen erikoistuneet yhtiöt ovat lobanneet EU:ta voimakkaasta aiheesta.
Balkan Insightin mukaan useat esityksestä taloudellisesti hyötyvät yritykset olivat olleet yhteydessä komissioon. Esimerkiksi näyttelijä Ashton Kutcherin perustama lasten seksuaalista hyväksikäyttöä vastaan työtä tekevä Thorn-järjestö oli käynyt komission kanssa tiivistä yhteydenpitoa asetuksen tiimoilta.
Thorn väittää, että palveluita voidaan skannata vaarantamatta käyttäjien yksityisyydensuojaa. Väite on kova, kun otetaan huomioon se, että teknologiajätti Apple luopui taannoin käyttäjän laitteella tehtävästä skannauksesta, koska se ei pystynyt takaamaan käyttäjiensä yksityisyyttä.
Päästä päähän salaukseen nojaavan viestipalvelu Signalin taustalla olevan säätiön puheenjohtaja Meredith Whittaker on todennut, ettei Thornin väitteille ole pohjaa.
– On erittäin ironista, että sama hallinto, joka tavoittelee tekoälyn järkevää sääntelyä, voi langeta näin perusteellisesti kateettomaan tekoälyhypeen, kun kyse on lapsista, Whittaker totesi viime syksynä digitaalisia kansalaisoikeuksia puolustavan EDRI-järjestön tilaisuudessa.
EU-komissio yritti pitkään pimittää tietoja järjestöjen ja yhtiöiden yhteydenpidosta. Vasta kun Euroopan oikeusasiamies puuttui tilanteeseen, komissio suostui julkaisemaan tiedot yhteydenpidosta.
Komission toiminta lakiesityksen käsittelyssä on herättänyt muutenkin ihmetystä. EU-komission tehtävä on laatia lainsäädäntöesityksiä ja valvoa lainsäädännön soveltamista. Nyt komissio on joidenkin meppien mukaan venyttänyt toimintansa rajoja.
Lokakuussa teknologiajulkaisu Wired uutisoi, että komissio oli ostanut somepalvelu X:ssä mainoksia, joiden mukaan valtaosa eurooppalaisista suhtautuu suopeasti digitaalisen viestintänsä skannaamiseen. Harhaanjohtavia mainoksia näytettiin vain seitsemässä maassa, muun muassa Suomessa. Mainokset oli kohdistettu kielteisesti komission esitykseen suhtautuviin päättäjiin.
Vastaavanlaisia toimintatapoja käytössä Venäjällä ja Kiinassa
Lokakuussa EU-parlamentti julkaisi oman kantansa parlamentin esitykseen. Siinä suhtauduttiin kielteisesti massavalvontaan ja päästä päähän salauksen heikentämiseen. Parlamentin mukaan sisältöjen seulominen pitää pystyä kohdentamaan epäilysten perusteella ja siihen on haettava oikeudelta lupa.
Euroopan tietosuojaneuvosto pitää parlamentin tekemiä muutoksia askeleena oikeaan suuntaan. Se on kuitenkin yhä huolissaan seulomisen kohdentamiseen ja uuden hyväksikäyttömateriaalin tunnistamiseen liittyvistä ongelmista.
– Meillä on tietysti täysi tuki lastensuojelulle online-maailmassa, mutta nämä keinot, joilla siihen pyritään nyt, johtaisivat turvattomampaan internetiin ja sitä kautta myös lasten aseman heikentymiseen, sanoo tietosuojavaltuutettu Anu Talus.
Meillä täällä Suomessa on niin pitkään ollut asiat todella hyvin, että ihmiset eivät välttämättä ole hereillä niiden vaarojen suhteen, mitä tällaiseen hyvin laajamittaiseen ja kohdentamattomaan viestinnän ja ihmisten tarkkailuun sekä seurantaan saattaa liittyä.
Anu Talus, tietosuojavaltuutettu
Talus toimii Euroopan tietosuojaneuvoston puheenjohtajana. Hänen mielestä EU pyrkii nyt muuttamaan perustavanlaatuisesti internetin.
– Tässä otettaisiin käyttöön hyvin samantyylisiä menettelyjä, joita on tällä hetkellä käytössä tässä katsottuna itään päin, eli esimerkiksi Venäjällä ja Kiinassa, hän toteaa.
Talus huomauttaa, että monen suomalaisen on vaikea hahmottaa nyt komission esityksen seurauksia. Olemme tottuneet luottamaan viranomaisiin ja eurooppalaisittainkin poikkeuksellisen vahvaa kirjesalaisuuteen.
– Meillä täällä Suomessa on niin pitkään ollut asiat todella hyvin, että ihmiset eivät välttämättä ole hereillä niiden vaarojen suhteen, mitä tällaiseen hyvin laajamittaiseen ja kohdentamattomaan viestinnän ja ihmisten tarkkailuun sekä seurantaan saattaa liittyä, Talus pohtii.
Tällä hetkellä jäsenmaista koostuva Euroopan neuvosto muodostaa omaa kantaansa esitykseen Belgian johdolla. Neuvoston kanta on todennäköisesti jotain komission esityksen ja parlamentin kannan väliltä. Huhtikuussa verkkoon vuoti neuvoston keskeneräinen kanta, jossa suurin korjausehdotus on palveluiden riskiperusteinen kategorisointi.
Lain lopullinen muoto sorvataan komission, parlamentin ja neuvoston kesken. Eurovaalien vuoksi nämä neuvottelut siirtyvät todennäköisesti ensi vuoden puolelle.
Voit keskustella aiheesta keskiviikkoon kello 23:een saakka.
Kuuntele Juuso Pekkisen podcast elokuulta 2021:
