Ehdotukset EU:n uudeksi lainsäädännöksi erityisesti silloin kun kyseessä on internet herättää poikkeuksetta suuria tunteita niin Euroopassa, Yhdysvalloissa kuin myös ympäri maailmaa. GDPR on jo muuttanyt suhtautumista yksityisyydensuojaan jopa maissa, joissa paikalliset lait eivät ole tarjonneet minkäänlaista suojaa kansalaisille, DSA ja DMA pyrkivät tasapainottamaan suhteettoman vallan saaneiden teknologiajättien asemaa, ja nyt uusi lakiehdotus keskittyy lapsiin kohdistuvan seksuaaliväkivallan torjuntaan. Katsotaan nyt ihan rauhallisesti mistä siinä on kyse.
EU:n kybermaailmaa koskeva lainsäädäntö herättää suuria tunteita koska se yleensä näyttää osuvan tarkasti johonkin kipukohtaan. Digitaalisessa maailmassa triljoonia dollareita tahkovat ihmisten tietoja keräävät, mainoksia kohdistavat ja mainoksia julkaisevat yritykset eivät välttämättä arvosta GDPR:ää, Google ja Facebook eivät pidä DSA/DMA-paketista, kun lasten hyväksikäyttöä estävää ehdotusta vastustavat puolestaan monet kansalaisjärjestöt sananvapaudesta aina tietoturvaan ulottuvilla aloilla (esimerkiksi EDRI, EFF, Wired-teknologialehti). Yhteinen huoli vastustajilla on tiedon salauksen heikentyminen tai sen tekeminen hyödyttömäksi. Tiedon salaus, kryptaus, on kybertietoturvan perustan luova ohjelmistoteknologia.
Mitä EU:n komissio ehdottaa?
Yksityiskohtainen ehdotus on saatavilla täällä, mutta ihmisten kielellä kirjoitettu yhteenveto on luettavissa EU:n tiedotteessa. Tässä sen tiivistetyt pääkohdat:
- Internet-viestintäpalveluja tarjoavat yritykset, hosting-palveluyritykset ja internet-yhteyksiä tarjoavat yritykset velvoitetaan tarkkailemaan palveluissaan kulkevaa aineistoa, poistamaan ja ilmoittamaan viranomaisille mahdolliset lasten hyväksikäyttöä koskevat sisällöt, kuten viestit, kuvat ja videot.
- Viranomaisten pyynnöstä palveluntarjoajan on ilmoitettava haitallisen aineiston levittäjän tunnistamiseen tarvittavat tiedot.
- Sovelluskauppojen, kuten Google Play ja Apple App Store on varmistettava, että lapset eivät voi ladata sovelluksia, joissa on riski hyväksikäytölle altistumiseen.
- Kaikki EU:n alueella oleva tai siellä liikkujva aineisto on valvonnan kohteena, olipa lähtö- ja kohdemaa mikä tahansa.
- EU ei määrittele miten ja millä teknologialla valvontaa tehdään.
Komission ehdotus lähtee siitä, että haitallisen aineiston tunnistamista ja vastuuhenkilöiden tunnistamista ei jätetä kokonaan algoritmeille, vaan kokonaan uusi organisaatio osallistuu toimintaan.
EU perustaa keskitetyn yksikön EU-torjuntakeskus (EU Centre on Child Sexual Abuse). Kaikki internet-palveluyritysten ilmoittamat haitalliset aineistojen ilmoitukset kulkevat keskuksen kautta. Kyse on siis erikoisosaamisen keskittämisestä yhteen paikkaan. Keskuksen lisäksi jokainen EU:n jäsenmaa perustaa samaan asiaan keskittyvän yksikön. Maakohtaiset organisaatiot kommunikoivat paikallisten internet-yritysten kanssa ja hankkivat tarvittavat luvat, jotka oikeuttavat haitallisen aineiston levittäjien tunnistamisen.
Mikä EU:n lakiehdotuksessa hiertää?
Suuri osa internetissä kulkevasta aineistosta on selväkielistä, eli sitä ei ole salakirjoitettu (kryptattu) käyttäjän laitteella eikä palvelimella (vaikka se olisi salattu matkan aikana). Esimerkiksi sähköpostijärjestelmä on lähtökohtaisesti salaamaton, vaikka viestejä toki voi kryptata jos osapuolet niin päättävät. Jotkut suositut viestintäpalvelut, kuten WhatsApp, Telegram ja Signal salakirjoittavat viestien sisällöt. Niissä välitettyä aineistoa eivät ulkopuoliset tahot, edes tiedustelupalvelut kuten NSA, pääse katsomaan käyttäjien laitteissa, palvelimilla eikä matkalla. Jos internet-palvelutarjoajat ja EU-torjuntakeskus haluavat tietää mitä sisältöä esimerkiksi WhatsAppin salakirjoitetuissa viesteissä on, salakirjoitus on tavalla tai toisella purettava.
Tietoturva-asiantuntijat ovat kuitenkin yhtä mieltä tästä: jos salakirjoitus on avattavissa, sitä ei ole lainkaan – ei hyödylliseen eikä haitalliseen tarkoitukseen.
Mikäli EU päättää, että viranomaiset saavat lasten hyväksikäyttöepäilytapauksissa valtuudet määrätä palveluntarjoajat purkamaan salauksen, osa lain väärällä puolella esimerkiksi WhatsAppia käyttäviä ihmisiä siirtynee Darknetin käyttäjiksi. Darknet on internetissä toimiva rajattu, ulkopuolisilta suljettu ja kryptattu verkosto, jossa kaikki ovat anonyymejä. Darknetiin osallistuminen edellyttää siihen erityisesti tehtyjen ohjelmien käyttöä. Huumekauppa, asekauppa ja lasten hyväksikäyttöön liittyvä aineisto ovat Darknetissä arkea.
Jos EU päättää pitää Komission laatiman ehdotuksen suunnilleen sellaisenaan, mutta hylkää salakirjoituksen murtamisen, korostuu poliisitutkimuksen rooli ja kenties viestien metatietojen tärkeys. Metatiedot, kuten lähettäjä, vastaanottaja, aikaleimat, viestin koko, IP-osoitteet ja muut tiedot kertovat yllättävän paljon vaikka ei tietäisi mitään viestin sisällöstä. Viestin sisältö voi siis olla salattu, mutta sen metatiedot ovat selväkielistä tekstiä, jotta viestit osaavat kulkea perille internetissä.
Miksi EU pitää tärkeänä, että nyt kyseenalaistetaan tietoturvan yksi perusasia?
Arvioiden mukaan EU:n alueella sijaitsevilla palvelimilla talletetaan yli 60% maailmalla liikkuvasta lasten hyväksikäyttöaineistosta. Vuonna 2021 raportoitiin 85 miljoonaa kappaletta lähinnä kuvia ja videoita, joita pidettiin laittomana. Voimme vain arvailla onko tämä 0.01%, 1% vai 10% kaikesta verkossa liikkuvasta hyväksikäyttöaineistosta.
Facebook oli ahkerin hyväksikäyttöaineiston raportoija: peräti 95% kaikista raporteista tuli Facebookilta. Muita vapaaehtoisuuteen perustuvaa raportteja tuli Googlelta, Snapchatilta, Microsoftilta, Twitteriltä, ja monilta muilta verkkopalveluilta.
EU on päätynyt siihen, että ongelman laajuuden ja vakavuuden vuoksi verkkopalveluiden on pakko valvoa ja raportoida arveluttavat tapaukset, josta seuraa valitun aineiston poisto ja sen levittäjien tunnistaminen.
Nyt ehdotettuun aineiston levittämisen estävään lainsäädäntöön liittyy myös lasten oma internetin käyttökokemus. Parempi internet lapsille -strategian (Strategy for a Better Internet for Kids, BIK+) ydin on:
”Komissio aikoo helpottaa ikätasoa vastaavan verkkosisällön suunnittelua koskevien EU:n käytännesääntöjen kehittämistä ja pyytää iän todentamista verkossa koskevan eurooppalaisen standardin käyttöönottoa vuoteen 2024 mennessä. Näin se pyrkii varmistamaan, että digiympäristössä toimiminen on turvallista lapsille ja nuorille. Komissio aikoo myös selvittää, miten suunniteltua eurooppalaista digitaalisen identiteetin lompakkoa voidaan käyttää iän todentamiseen.”
Villin, vapaan ja rajattoman internet-romantiikan aika alkaa vääjäämättömästi olla ohi. Tälläkin ehdotuksella EU jatkaa hyvin johdonmukaisesti lainsäädännön toteuttamista, jolla varmistetaan samojen sääntöjen olevan voimassa niin digitaalisessa kuin analogisessa maailmassa olipa kyseessä mikä tahansa elämän osa-alue.
