EDPB och EDPS: Lagförslag mot barnpornografi är ogenomförbart och måste revideras

Författare:

|

Datum:

|

Författare: Kave Noori

European Data Protection Board (EDPB) och European Data Protection Supervisor (EDPS) har i ett gemensamt remissvar uttryckt sin oro över ett lagförslag för att förebygga och bekämpa material om sexuella övergrepp mot barn på nätet. De håller med om att det krävs åtgärder för att stoppa sådant material, men varnar för att generell automatisk scanning av privata meddelanden med AI är ineffektivt, otillförlitligt och i praktiken leder till massövervakning.

EDPS och EDPB varnar också för att en konsekvens av lagens genomförande kommer att bli att tjänsteleverantörer bryter end-to-end-kryptering, vilket skulle vara skadligt för onlinesäkerheten för de barn som lagen försöker skydda. Därför rekommenderar EDPB och EDPS att förslaget revideras.

Förslaget i korthet
Den 11 maj 2022 publicerade Europeiska kommissionen sitt förslag till EU-förordning om förebyggande och bekämpning av sexuella övergrepp mot barn. Förslaget innebär att en ny EU-myndighet inrättas, EU:s centrum för sexuella övergrepp mot barn, EU Centre on Child Sexual Abuse (EUCSA), som kommer att ha ett nära samarbete med polismyndigheten Europol. EU-centret kommer att ta emot uppgifter från tjänsteleverantörer, säkerställa att det faktiskt utgör misstänkt barnporr och vidarebefordra dem till Europol och nationella brottsbekämpande myndigheter.

EU-centret kommer att stöttas av samordnande myndigheter i varje medlemsstat. Samordningsmyndigheterna kommer att utgöra kontaktpunkten för offer och vara den instans som begär att en domstol i medlemsstaten ska förelägga en tjänsteleverantör att installera en viss teknik som upptäcker barnpornografi. Den samordnande myndigheten ska också kunna be en domstol att förelägga en internetleverantör att blockera tillgången till en viss webbadress.

En tjänsteleverantör kommer vara skyldig att göra egna riskbedömningar för att identifiera sannolikheten för att dess tjänster används för spridning av material om sexuella övergrepp mot barn. Leverantörer av hosting-tjänster (t.ex. webbhotell, Dropbox) och leverantörer av meddelandetjänster (t.ex. traditionella telefonsamtal, e-post, WhatsApp, chattar eller kommunikation i spel samt plattformar för delning av videor och bilder) kommer vara skyldiga att vidta åtgärder för att motverka att deras tjänster används för att sprida material som rör sexuella övergrepp mot barn.

Tjänsteleverantörer blir skyldiga att skanna innehållet i meddelanden och uppladdat material (bilder och videor), även om appen använder sig av end-to-end-kryptering. Användarnas kommunikation måste granskas i jakten på tre olika typer av olaglig information

  1. ”Känt material”, det vill säga bilder / videos som polisen redan stött på tidigare och vet att de cirkulerar på nätet.
  2. ”Nytt material” det vill säga bilder / videos som polisen inte har sett / identifierat tidigare 
  3. Grooming-försök (När vuxna tar kontakt med barn i sexuellt syfte)

Det föreslagna EU-centret kommer att kostnadsfritt tillhandahålla den nödvändiga tekniken. Tjänsteleverantörerna kommer dock ha friheten att införa andra tekniska lösningar som gör samma saker, så länge den egna lösningen är effektiv.

Den föreslagna lagen inför också skyldigheter för så kallade app-butiker (till exempel Google Play och Appstore). App-butiker förväntas i ”rimlig” omfattning vidta åtgärder för att värdera risken för att specifika appar, kan komma att missbrukas av pedofiler som vill kontakta barn. Om app-butiken kommer fram till att en sådan risk existerar kommer den enligt förslagen att vara skyldig att genom tekniska åtgärder begränsa ett barns möjlighet att ladda ned appen. Det innebär också att app-butiken kan vara skyldig att införa extra åtgärder för att verifiera eller på annat sätt klassificera en specifik användares ålder, för att utröna om denne är ett barn. 

Exempel
Anna chattar med en vän och skickar en bild via Whatsapp. Whatsapp har en skyldighet att skanna innehållet i filen. Annas bild måste först jämföras med en förteckning (t.ex. genom jämförelse av hashvärden*) över bilder eller videor som de brottsbekämpande myndigheterna redan har kännedom om att de utgör material som rör sexuella övergrepp mot barn.

För det andra måste Whatsapp också skanna bilden med en AI som avgör om bilden kan vara nytt material om sexuella övergrepp mot barn som ännu inte har kommit till myndigheternas kännedom. Om AI:n misstänker att bilden sannolikt utgör nytt material måste Whatsapp skicka en kopia av bilden till EU-centret, som granskar den och avgör om den potentiellt utgör material om sexuella övergrepp mot ett barn som måste rapporteras till polisen.

För det tredje kommer Whatsapp att vara skyldiga att analysera vad Anna och hennes vän pratar om för att motverka grooming-försök. Appen ska analysera om mönster i deras konversation följer mönstren för när en vuxen försöker kontakta ett barn i ett sexuellt syfte. Om AI:n anser att samtalet utgör ett potentiellt groomingförsök måste delar av samtalet också skickas till EU-centret för närmare granskning och bedömning. EDPS och EDPB:s gemensamma yttrande påpekar att ordalydelsen i den föreslagna lagen inte bara skulle innebära att skriftlig kommunikation skannas, utan att även röstsamtal i realtid kan övervakas enligt den föreslagna lagen.

Rättigheter för offer och sanktionsavgifter
Genom den föreslagna lagen kommer också barn som utsatts för sexuella övergrepp att ha vissa rättigheter. De kommer ha rätt att få information från EU-centret om ifall de förekommer i material som myndigheten har påträffat. Offren kommer också ha rätt att vända sig till tjänsteleverantörer för att få assistans med att få material om sig själva borttaget eller blockerat. Barn med funktionsnedsättning kommer också ha rätt att begära och få all information om dessa stöd på ett sätt som passar dem.

Reglerna för sanktioner på grund av överträdelser kommer fastställas av medlemsstaterna, sanktionsavgiften för ett enskilt regelbrott får inte överstiga 6 % av leverantörens årsinkomst eller totala omsättning från föregående år.

Avslutning
I den här artikeln har vi försökt ge en översikt över vad förslaget kommer innebära. De föreslagna metoderna för att bekämpa material om sexuella övergrepp mot barn är kraftfulla och ingripande. EDPB och EDPS anser dock att det finns allvarliga brister i förslaget som gör mer skada än nytta. I nästa veckas artikel redogör vi för hur EU-kommissionen motiverar sitt förslag och vad EDPB och EDPS invändningar går ut på och vad de menar måste revideras för att lagen ska vara genomförbar.

Förklaring av begrepp:

* Hashvärde – Hashing är en process varigenom en bild omvandlas till en serie bokstäver/siffror eller andra tecken som fungerar som ett ”fingeravtryck” för bilden. Genom att jämföra hash-värdena för två bilder kan man avgöra om bilderna är identiska eller om de har ändrats på något sätt. Detta verktyg kan användas för att bekämpa spridningen av material om sexuella övergrepp mot barn eftersom den kan hjälpa till att identifiera och spåra bilder som har delats på nätet och kartlägga var bilderna delats.

Läs mer:

EU-kommissionens förslag till förordning för att förebygga och bekämpa material om sexuella övergrepp mot barn på nätet, 11 maj 2022

EDPB och EDPS pressmeddelande, 29 juli 2022 om deras gemensamma remissvar

EDPB och EDPS gemensamma remissvar, 29 juli 2022