CSAM-asetus: Hallitus ja EU oikealla asialla mutta täysin väärällä työkalulla
Eduskunnassa on käsittelyssä CSAM-asetusehdotus, joka on vakava uhka sekä kansalaisten yksityisyydensuojalle että sananvapaudelle. Hallituksen puoltaman, EU-komission esityksen tarkoituksena on etsiä yksityisestä viestinnästä laitonta sisältöä, kuten lapsiin kohdistuvaa seksuaalista hyväksikäyttöä. Tavoite on siis erittäin tärkeä mutta esitetty työkalu täysin väärä. Mikäli esitys toteutuu nykyisessä muodossaan, se rikkoo vakavasti EU-kansalaisten perustavanlaatuisia oikeuksia.
Esitetty ehdotus pakottaisi netissä lähetettävien viestien palveluntarjoajat käymään viranomaisen pyynnöstä läpi käyttäjien laitteiden kuva- ja videoviestintää. Tämä tarkoittaa esimerkiksi kenen tahansa Whatsappia. Kansalaisten yksityisyydensuojan rikkomisen lisäksi esitys lisää tietoturvariskejä sekä luo mahdollisuuksia väärinkäytöksille, koska se mahdollistaisi ei-toivottujen mielipiteiden ilmaisemisen valvonnan. Lapsiin kohdistuvaa seksuaalista hyväksikäyttöä esitys sen sijaan ei estä tehokkaasti, koska sen levittäjät etsisivät nopeasti muita keinoja tai pystyisivät jopa kiertämään valvonnan helposti muokkaamalla kuviaan eri keinoin.
Hyvää tarkoittavaa tavoitetta ei siis tule toteuttaa siten, että käytännössä palveluntarjoajien luottamuksellisuuden ja yksityisyyden tasoa heikennetään kautta linjan. Ehdotettu viestinnän ennakkokontrolli eli niin kutsuttu skannaus kohdistuisi kaikkiin kansalaisiin ja käyttäjiin – myös työelämässä ja yrityksissä – eikä vain viranomaisten epäilyksen kohteisiin. Komission esitys on saanut laajaa ja voimakasta kritiikkiä niin tietoturva-alan asiantuntijoilta, kansalaisjärjestöiltä kuin oikeustieteilijöiltä, koska se heikentää yksityisen viestinnän tarkoitusta sekä yritysten välistä luottamuksellista viestintää.
Kaikille tuttuun kirjemaailmaan sijoitettuna ehdotus tarkoittaisi käytännössä, että Suomessa posti lukisi kaikkien kirjeet postilaatikkoon jätettäessä ja lähettäisi tarvittaessa kopion poliisille. Tässä mallissa kirjesalaisuutta turvaavilla toimilla eli kirjekuoreen sulkemisella ei olisi enää merkitystä. Digitaalisessa viestinnässä salauksen käyttö vastaa suljettua kirjekuorta. Viestien skannaus lisää viestiliikenteen hallinnan monimutkaisuutta merkittävästi ja johtaa uusiin haavoittuvuuksiin, jotka heikentävät kaikkien turvallisuutta. Vastikään paljastui Kiinan laaja amerikkalaisiin teleoperaattoreihin kohdistunut tietomurto viranomaiskäyttöön tarkoitettujen laillisten takaovien kautta.
Koska esitys rikkoo perustavalla tavalla kansalaisten perusoikeuksia, on välttämätöntä, että eduskunnan perustuslakivaliokunta arvioi ehdotuksen perustuslaillisuuden.
Vakava varoitusmerkki esityksessä on, että säädöshanketta edistää voimakkaasti demokratian ja kansalaisyhteiskunnan toimintaedellytyksiä jatkuvasti rapauttava Unkari. Unkarin kompromissiesitys vaarantaa lisäksi Suomen maineen korkean digitaalisen luottamuksen ja perusoikeudet takaavana maana. Tämä heikentäisi väistämättä yksityistä omistajuutta, liiketoimintaa ja investointihalukuutta, sillä myös elinkeinotoiminta nojaa vahvasti oikeussubjektien oikeuteen viestiä ja siirtää tietoa luottamuksellisesti osapuolten välillä.
Ehdotuksen tukeminen esitetyssä muodossa ei siis ehkäise tehokkaasti lasten seksuaalista hyväksikäyttöä, mutta se vaarantaa vakavasti useiden muiden perusoikeuksia, julkisen hallinnon avoimuutta ja luottamuksen vahvistamista. Siten ehdotus ei ole tehokas, perusoikeuksia kunnioittava tai seurauksiltaan ennakoitava.
Lakiehdotuksen vastustaminen ei myöskään tarkoita pedofilian tukemista tai ongelman vähättelyä. Valinta ei ole pedofilian tukijoiden ja vastustajien välillä. Kyse on siitä, tuetaanko lasten hyväksikäytön torjuntaa tehokkain vai tehottomin keinoin. Esitetyssä mallissa tehottomien keinojen ohella heikennettäisiin luottamuksellisen viestinnän perustaa tavalla, joka olisi vahingollinen sekä jokaiselle meille ihmisinä että koko yhteiskunnan kokonaisturvallisuudelle.
Asiantuntijat suosittelevat, että lasten seksuaalisen hyväksikäytön torjunnassa keskitytään jo todistettuihin lähestymistapoihin.
Vaikuttavia toimia lasten hyväksikäytön estämiseksi ovat:
- Verkkohoukuttelun torjunnan osalta vuonna 2024 jatkettua tilapäistäpoikkeusta (vuoteen 2026) sähköisen viestinnän tietosuojadirektiivin tiettyihin säännöksiin tulee jatkaa pysyvästi, jotta palveluntarjoajat voivat jatkaa ko. materiaalin vapaaehtoista tunnistamista ja raportoimista. Olemassa olevat vapaaehtoiset toimet ovat kattavampia kuin kompromissiehdotuksessa esitelty pakollinen viestinnän viranomaisvalvonta. Myös EU-parlamentti edellytti pysyvän asetuksen valmistelua ja säätämistä hyväksyessään nykyisen väliaikaisen asetuksen.
- Lopullisessa asetuksessa tulee säätää asianmukaisista poikkeuksista sähköisen viestinnän tietosuojadirektiiviin (ePD), jotta viestintäpalveluiden tarjoajat voivat estää, havaita, poistaa ja raportoida lapsen seksuaalista hyväksikäyttöä koskevia tapauksia ilman, että ne ovat riippuvaisia tunnistamismääräyksistä. Moni palveluntarjoaja hyödyntää nytkin omia teknologisia ratkaisujaan tunnistaakseen ja seuloakseen tällaista aineistoa palveluissaan. Ilman tällaista mahdollistavaa CSAM-asetusta vapaaehtoinenkin aineiston tunnistaminen ja poistaminen on mahdotonta, koska tämän aineiston käsittely on lainvastaista ilman lakiin perustuvaa oikeutta.
- Asetusehdotuksessa tulee säilyttää palveluntarjoajien oikeus kehittää lapsiin kohdistuvaa, seksuaaliväkivaltaa todistavan aineiston havaitsemiseksi soveltuvaa teknologiaa. Mahdollinen ratkaisu teknologisen kehityksen ja parempien käytäntöjen edistämiseksi voisi olla sisällyttää asetusehdotukseen lisävaltuutusprosessi. Tällöin palveluntarjoajat pyytäisivät toimivaltaiselta viranomaiselta ennakkoluvan ennen uusien teknologioiden käyttöönottoa viestintäpalveluissa, joita ei ole käsitelty nykyisen väliaikaisen asetuksen mukaisessa kuulemisessa ja joita palveluntarjoaja ei tällä hetkellä käytä EU:ssa.
- Haitallisten havaintojen käyttäjäpohjainen turvallisuusraportointi palvelujen ylläpitäjille. Käyttäjille tulee olla viestintäpalvelun tai -applikaation sisällä helposti saatavilla oleva tapa raportoida epäasiallisesta sisällöstä tai kommunikaatiosta.
- Mikäli palvelu on suunnattu nuorille tai lapsille, palveluntarjoajien tulee perehdyttää käyttäjiä verkkohoukuttelun riskeistä. Palveluntarjoajien tulisi esimerkiksi palvelua ensi kerran käyttöönotettaessa tarjota helposti ymmärrettävää tietoa palvelun väärinkäyttöön liittyvistä riskeistä.
- Alustoille tulee asettaa velvoittavia suunnitteluperiaatteita. Komissio on jo laatinut strategian (European strategy for a Better Internet for Kids, BIK+) sekä ikätasolle sopivan palvelusuunnittelun periaatteet ja laatinut pyynnön eurooppalaisen standardin kehittämiseksi verkkoikävarmennukselle vuoteen 2024 mennessä. Tähän tarkoitukseen soveltuva käyttäjien tunnistaminen tulee myös mahdolliseksi EU:n digitaalisen identiteetin (eIDAS 2.0) avulla vuoden aikana.
- Yllä mainitut toimet tulee sisällyttää ehdotukseen tehokkaan riskiperusteisen ratkaisun varmistamiseksi. On välttämätöntä, että periaatteet muunnetaan teknisesti toteutettaviksi siten, että ikään sopiva suojelu, yksityisyyden ja tiedon sekä palvelujen saatavuus varmistetaan tasapainoisesti. Ikätasoon sopivan palvelusuunnittelun velvoite voisi sisältyä lakiehdotukseen ja komissiolla voisi olla delegoitu oikeus antaa asiasta tarkempaa, viestintäpalveluiden tarjoajien kanssa suunniteltuja vaatimuksia sisältävää sääntelyä.
- Sovelluskauppojen tarjoajien, jotka on digitaalisten markkinoiden asetuksen (DMA) mukaisesti nimetty “portinvartijoiksi”, on ryhdyttävä kohtuullisiin toimenpiteisiin estääkseen tunnistettuja alaikäisiä käyttäjiä lataamasta tai asentamasta sovelluksia, joiden kehittäjä on ilmoittanut sovelluksen olevan sopimaton lapsille tai joissa sovelluksella on sisältöluokitus.
- Viestintäpalveluiden tarjoajat hyödyntävät muita ikään sopivan suunnittelun periaatteita ja oletusasetuksia, jotka minimoivat tietojen keräämisen käyttäjiltä, tukevat turvallista vuorovaikutusta alustoilla ja suojaavat haitalliselta sisällöltä ja vuorovaikutukselta, seksuaaliselta hyväksikäytöltä ja manipuloinnilta.
- EU:n komission tulee jatkaa neuvotteluja Yhdysvaltain viranomaisten kanssa kummankin oikeudenkäyttöpiirin lakien ristiriitojen välttämiseksi CSAM:n raportoinnin ja jakelun osalta, sillä kompromissiehdotus ei mahdollista tähän liittyvien ongelmien ratkaisemista. Yhdysvalloissa toimivien yritysten on nykyään lakisääteisesti raportoitava National Center for Missing and Exploited Children (NCMEC) -keskukselle lasten verkkoperustaiseen hyväksikäyttöön liittyvistä havainnoistaan. Ennen EU-lain hyväksymistä tulisi varmistaa, että yritykset voivat jatkaa raportointia NCMEC:lle.
- Asetuksen vaikutuspiirin ulkopuolisia keskeisiä keinoja ovat:
- Käyttäjäkoulutus, digitaalisen lukutaiton kehittäminen sekä huoltajien valvonta. Käyttäjäkoulutukselle sekä huoltajien valvonnan vahvistamiselle on olemassa tavoitetta tukevia teknisiä suunnitteluratkaisuja, joista on tietoa ylläolevassa listassa.
- Rikoksentekijöiden vastuuseen saattaminen edellyttää jo olemassa olevien esitutkintatoimivaltuuksien ja -resurssien asianmukaista kohdentamista sekä syyttäjien ja tuomioistuimien kyvykkyyksien vahvistamista hankalien ja kansainvälisiä ulottuvuuksia sisältävien rikosasioiden huolelliseen käsittelyyn sekä rikosprosessin hallinnolliseen tehostamiseen. Esimerkkinä tehokkaista toimista ovat muun muassa tullin suorittamat pimeän verkon laittomiin huumausainekauppapaikkoihin suorittamat esitutkinta, palveluiden haltuunotto ja tekijöiden kiinni ottaminen.
- Lapsen lähestymistä seksuaalisessa tarkoituksessa koskevan rikos- ja poliisilain muuttaminen siten, että poliisilla olisi oikeus lähestyä henkilöä peiteidentiteetin keinoin eikä tilannetta pidettäisi todellisen uhrin (lapsen) puuttuessa sellaisena, että tekijä ei olisi syyllistynyt lainkaan rikokseen (vrt. esim. Viro, jossa poliisi on verkon peiteidentiteetin avulla käsityksemme mukaan toteuttanut rikosvastuuta tehokkaasti).
Asetuksen vaikutuspiirin ulkopuolisia keskeisiä keinoja ovat:
- Käyttäjäkoulutus, digitaalisen lukutaiton kehittäminen sekä huoltajien valvonta. Käyttäjäkoulutukselle sekä huoltajien valvonnan vahvistamiselle on olemassa tavoitetta tukevia teknisiä suunnitteluratkaisuja, joista on tietoa ylläolevassa listassa.
- Rikoksentekijöiden vastuuseen saattaminen edellyttää jo olemassa olevien esitutkintatoimivaltuuksien ja -resurssien asianmukaista kohdentamista sekä syyttäjien ja tuomioistuimien kyvykkyyksien vahvistamista hankalien ja kansainvälisiä ulottuvuuksia sisältävien rikosasioiden huolelliseen käsittelyyn sekä rikosprosessin hallinnolliseen tehostamiseen. Esimerkkinä tehokkaista toimista ovat muun muassa tullin suorittamat pimeän verkon laittomiin huumausainekauppapaikkoihin suorittamat esitutkinta, palveluiden haltuunotto ja tekijöiden kiinni ottaminen.
- Lapsen lähestymistä seksuaalisessa tarkoituksessa koskevan rikos- ja poliisilain muuttaminen siten, että poliisilla olisi oikeus lähestyä henkilöä peiteidentiteetin keinoin eikä tilannetta pidettäisi todellisen uhrin (lapsen) puuttuessa sellaisena, että tekijä ei olisi syyllistynyt lainkaan rikokseen.
Tekstiä on muokattu 28.10. 2024
