Personlig integritet ställs mot effektiv bekämpning av barnporr

Författare: Kave Noori

I förra veckans artikel rapporterade vi att EU-kommissionen föreslagit en ny lag för att bekämpa spridningen av material om sexuella övergrepp mot barn på Internet.

EU-kommissionen föreslår obligatorisk scanning av privata kommunikationer med hjälp av AI-teknik. Om AI:n misstänker att en bild eller video kan utgöra barnporr ska den skickas till en myndighet som avgör om den ska delas med polisen. Även privata konversationer ska scannas för att identifiera groomingförsök, när en vuxen söker kontakt med ett barn i sexuella syften, funktionen kallas Chat Control.

Förslaget har kritiserats av European Data Protection Board (EDPB) och European Data Protection Supervisor (EDPS). Båda dessa dataskyddsmyndigheter anser att förslaget är ogenomförbart och har begärt att det ska ändras. I den här artikeln fördjupar vi oss i kritiken mot förslaget och hur EU-kommissionen motiverar sitt förslag.

EU-kommissionen: Vi har misslyckats med att skydda barnen
EU-kommissionen konstaterar i sin promemoria att minst ett av fem barn faller offer för sexuellt våld under sin barndom. I en global studie från 2021 konstaterades att mer än var tredje respondent hade blivit ombedd att göra något sexuellt explicit på nätet under sin barndom, och över hälften hade varit med om någon form av sexuellt övergrepp mot barn på nätet. Barn med funktionsnedsättning löper ännu större risk att utsättas för sexuellt våld, och upp till 68 procent av flickorna och 30 procent av pojkarna med intellektuell funktionsnedsättning har utsatts för sexuella övergrepp före sin 18-årsdag. Trots att sexuella övergrepp mot barn är kriminaliserade i hela EU skriver kommissionen att det är uppenbart att EU fortfarande misslyckas med att skydda barn från denna form av övergrepp.

EU-kommissionen framhåller att förslagen om obligatoriska krav på att upptäcka nytt material om sexuella övergrepp mot barn och “grooming” skulle ha en positiv inverkan på de potentiella offrens grundläggande rättigheter genom att bidra till att förebygga övergrepp. Om myndigheterna kan reagera tillräckligt snabbt på nytt material om sexuella övergrepp mot barn och groomingförsök tror EU-kommissionen att det till och med kan vara möjligt att skydda ett barn innan det skadas. Kommissionen är dock medveten om att en sådan form av övervakning generellt utgör ett mycket stort ingrepp i den privata sfären för alla användare, eftersom den förutsätter automatisk bevakning av kommunikationen mellan enskilda personer.

EDPB och EDPS remissvar
EDPB och EDPS stöder starkt EU-kommissionens ambition att bekämpa material om sexuella övergrepp mot barn. De anser dock att förslagets nuvarande utformning kan leda till en orimligt långtgående massövervakning av elektronisk kommunikation.

EDPB:s vice ordförande Ventsislav Karadjov säger att det nuvarande förslaget innehåller allvarliga brister och faktiskt kan skada de barn som lagen försöker skydda. EDPB och EDPS konstaterar att förslaget saknar rättslig förutsebarhet på flera punkter, och att användningen av teknik som artificiell intelligens för att skanna användarnas kommunikation sannolikt inte kommer att vara träffsäker och generera felaktiga svar, samtidigt som metoden är mycket integritetskränkande för alla.

EDPB och EDPS slår fast att de verktyg som ska användas enligt EU-kommissionen inte är tillräckligt träffsäkra för att specifikt kunna urskilja material om sexuella övergrepp mot barn. I deras resonemang väger det väldigt tungt att en så stor andel legitim privat elektronisk kommunikation också riskerar att fångas upp av myndigheterna. Eftersom övervakningsåtgärderna inte är tillräckligt effektiva och träffsäkra för problemet som EU försöker lösa, anser EDPB och EDPS att statens intresse av att övervaka inte ska få företräde framför medborgarnas rätt att inte bli övervakade.

Båda EU-institutionerna anser att förslaget innebär större risker för alla medborgares privatliv än den risk det innebär för brottslingarna. De rekommenderar bland annat att villkoren för att tvinga en tjänsteleverantör att införa teknik för att upptäcka material om sexuella övergrepp mot barn förtydligas.  

Användningen av AI i kampen mot nytt material och groomingförsök (chat control)
EDPS och EDPB konstaterar att EU-kommissionen bygger sitt förslag på en föreställning om att det redan existerar tillförlitliga AI-system som både kan identifiera nytt material om sexuella övergrepp mot barn och förhindra groomingförsök. Eftersom det finns så lite information om hur vanligt det är att dessa tekniker används eller hur effektiva de är uppmanar EDPB och EDPS lagstiftaren till att ha en mer försiktig hållning till införandet av denna teknik.

Vidare konstaterar EDPB och EDPS att de indikatorer för att mäta effektiviteten av tekniker som upptäcker material om sexuella övergrepp mot barn som nämns i den konsekvensbedömningsrapport som bifogats till förslaget ger ytterst lite information om hur effektiva dessa tekniker är. (EU-kommissionens beskrivning av tekniken är 5 sidor lång, se sidorna 281-285 i denna PDF, redaktionens anmärkning)

EDPB och EDPS skriver vidare att det är oklart om indikatorerna som mäter effektiviteten som använts i EU-kommissionens tester ens återspeglar hur väl tekniken fungerar i verkligheten.

EDPB och EDPS betonar att mätindikatorerna bör ge en detaljerad bild av hur detektionsverktygen fungerar. EDPB och EDPS remissvar påminner om att det är allmänt känt att användningen av AI-algoritmer på bilder eller text kan leda till partiska, fördomsfulla eller diskriminerande utfall eftersom alla befolkningsgrupper ofta inte är tillräckligt representerade i de dataset som används för att träna upp algoritmen. För att detektionssystemen ska vara till nytta för samhället poängterar de att dessa skevheter bör identifieras, bedömas och åtgärdas för att säkerställa att AI-systemen löser sina arbetsuppgifter på ett korrekt sätt.

Avlyssning av pågående röstsamtal
EDPB och EDPS anser att förslaget genom sin ordalydelse inte utesluter att en AI sätts in för att avlyssna pågående röstsamtal i realtid för att identifiera pågående groomingförsök. De anser emellertid att denna åtgärd är särskilt påträngande eftersom den medför att medborgarnas kommunikation bevakas konstant och i realtid. De anser att konsekvenserna av att införa detta måste analyseras närmare innan förslaget tas vidare. EDPB och EDPS anser därför att avlyssning av samtal i realtid explicit bör undantas från den föreslagna förordningens tillämpningsområde.

Kampen om krypteringen
Kryptering används för att skydda information eller kommunikation från obehörig åtkomst. Kryptering omvandlar informationen till en hemlig kod som endast kan avkodas av tillåtna användare. End-to-end-kryptering är en typ av kryptering som säkerställer att endast avsändaren och den avsedda mottagaren av ett meddelande tar del av dess innehåll.

EU-kommissionen anser att den föreslagna EU-förordningen är teknikneutral och därför varken främjar eller hindrar användningen av en viss teknik. Enligt EU-kommissionen kräver förordningen endast att den teknik som leverantörerna väljer att använda ska uppfylla vissa krav.

EU-kommissionen uppger att ett sådant krav är att apparna ska använda end-to-end-kryptering tillsammans med funktioner för upptäckt av material om sexuella övergrepp mot barn. EU-kommissionen förklarar att detta är särskilt viktigt för att garantera säkerheten och sekretessen i all kommunikation mellan användare, inklusive barn.

EDPB och EDPS bestrider bestämt EU-kommissionens påstående om att det ens skulle vara tekniskt möjligt att kombinera de föreslagna skanningskraven med end-to-end-kryptering. För att följa lagen påpekar EDPB och EDPS att leverantörerna i praktiken kommer att behöva bryta krypteringen och aktivt övervaka samtal i realtid.

Även om den föreslagna lagen i teorin låter enskilda leverantörer välja teknik för att uppfylla lagens målsättningar, drar EDPB och EDPS slutsatsen att den teknik som krävs för att uppfylla lagkraven är inkompatibel med end-to-end-kryptering (E2EE). De påpekar att hela poängen med E2EE är att säkerställa att avsändare och mottagare kan kommunicera konfidentiellt utan att tjänsteleverantören har kännedom om innehållet i kommunikationen.

Om lagen antas i sin nuvarande form varnar EDPB och EDPS för att många tjänsteleverantörer kan komma att sluta använda E2EE eftersom det är omöjligt att söka efter material om sexuella övergrepp mot barn i meddelanden utan att knäcka krypteringen och avlyssna kommunikationen.

Fortsättningsvis påpekar EDPS och EDPB att lagens hårda sanktioner generellt sett leder till negativa konsekvenser för användarnas integritet och säkerhet. Detta skulle kunna ha en nedslående effekt på yttrandefriheten och laglig, privat användning av elektroniska kommunikationstjänster menar dem.

EDPB och EDPS påpekar att scanning efter material om sexuella övergrepp mot barn på klientsidan innebär att programmen kommer att köras okrypterade på slutanvändarnas enheter. Detta innebär en betydande försämring av konfidentialiteten. EDPB och EDPS varnar för att detta skulle vara särskilt skadligt för barnen, eftersom det gör barnens enheter mer sårbara för övervakning och avlyssning av deras kommunikation.

En annan metod som EU-kommissionen har övervägt, nämligen skanning på serversidan, är också oförenlig med E2EE enligt EDPB och EDPS. De skriver att denna lösning skulle kräva att man knäcker den krypterade kommunikationskanalen, vilket leder till massbehandling av personuppgifter på leverantörernas servrar.

EDPS och EDPB påminner om att end-to-end-kryptering är ett viktigt verktyg för att säkerställa sekretessen för elektronisk kommunikation. Den skapar ett starkt skydd mot att någon annan än avsändaren och mottagaren, inklusive tjänsteleverantörer, får tillgång till innehållet i kommunikationen. Att motverka eller avskräcka användandet av end-to-end-kryptering skulle försvaga krypteringens roll i allmänhet och undergräva de europeiska medborgarnas grundläggande rättigheter menar EDPB och EDPS.

Wojciech Wiewiórowski, European Data Protection Supervisor, konstaterar också att åtgärder som på en allmän basis ger offentliga myndigheter tillgång till innehållet i privat kommunikation kränker rätten till privatliv. Han understryker att även om den teknik som används är begränsad till indikatorer, är de negativa konsekvenserna av att övervaka individuell text- och talkommunikation på allmän basis särskilt allvarliga och omöjliga att rättfärdiga enligt EU:s stadga om de grundläggande rättigheterna (EU:s grundlagsskydd för mänskliga rättigheter, reds. anm.)

Reaktioner från civilsamhället
Eurochild och ett 60-tal andra barnrättsorganisationer har undertecknat ett öppet brev där de välkomnar EU-kommissionens förslag. De skriver att mer än 62 procent av allt material om sexuella övergrepp mot barn på nätet finns på servrar i EU, men att de flesta av dessa bilder förblir dolda och, framför allt, inte rapporteras. De ser förslaget som ett viktigt steg för att se till att barn fritt kan vara nyfikna och utforska nätet på ett säkert sätt.

På den motsatta sidan i debatten menar man istället att om man bryter krypteringen för ett gott syfte, så öppnas bakdörrar i systemen som också kan utnyttjas för mer tveksamma syften. European Digital Rights (EDRi) anser att EU-kommissionens förslag skulle kunna tvinga företag att förvandla våra digitala enheter till potentiella spioneringsverktyg, vilket skulle öppna dörren för ett brett spektrum av auktoritära övervakningstaktiker. EDRi konstaterar att de största riskerna med förslaget kvarstår trots att det gjorts flera försök att förmildra de negativa konsekvenserna. EDRi anser att detta äventyrar journalister, visselblåsare, medborgarrättsförsvarare, advokater, läkare och andra som behöver skydda sekretessen för sin kommunikation.

EDRi skriver vidare att även om det finns vissa positiva aspekter i lagförslaget finns det flera bestämmelser som skulle göra det mycket svårt för privata företag att följa lagen. Tjänsteleverantörer och plattformsleverantörer måste till exempel vidta åtgärder för att minska risken för missbruk via sin plattform. Dessa kan emellertid tvingas att vidta ytterligare åtgärder om de inte i sin riskbedömning har visat att det inte längre finns någon risk för missbruk alls. Enligt EDRi är detta en omöjlig standard att uppfylla, vilket innebär att lagen sannolikt kommer att tvinga leverantörerna att genomföra så många ” förebyggande åtgärder” som möjligt på eget initiativ.

EU-kommisionens svar på kritiken
Den 7 augusti 2022 svarade EU-kommissionär Ylva Johansson på EDPB:s och EDPS kritik. Hon sade att det är angeläget att regelverket införs eftersom det har skett en chockerande ökning av sexuella övergrepp mot barn online och offline sedan Covid-pandemin. Hon anförde att EU-kommissionens förslag är väl genomtänkt, juridiskt välgrundat och absolut nödvändigt för att bekämpa det plågeri som sexuella övergrepp mot barn på Internet utgör.

EU-kommissionär Ylva Johansson sade att den nya lagen innehåller åtgärder för att förhindra ytterligare spridning av bilder och videoklipp av övergrepp. Hon betonade att detta kommer att skydda barn från ytterligare skada och göra det möjligt för tjänsteleverantörer att undvika krav på att införa spårningstekinik om de har en tillräckligt stark infrastruktur.

Ylva Johansson påpekade även att de brittiska myndigheterna GCHQ och National Cyber Security Center i juli 2022 publicerade ett dokument som förklarar hur material om sexuella övergrepp mot barn kan spåras på krypterade tjänster samtidigt som användarnas integritet skyddas.

Slutligen tillade Johansson att den föreslagna lagen syftar till att förhindra nya övergrepp, inte att bara upptäcka begångna brott.  Lagens grundläggande syfte framhöll Johansson är att skydda barn från ytterligare spridning av bilder och videor och för att skydda barn från att hamna i händerna på förövare.

Sammanfattning
Spridningen av material om sexuella övergrepp mot barn har mycket skadliga konsekvenser. Samtidigt menar EDPB och EDPS i egenskap av expertmyndigheter att det finns en konflikt mellan att bekämpa spridningen av material om sexuella övergrepp mot barn på det sätt som EU-kommissionen föreslår och samtidigt skydda end-to-end-krypteringen och att hindra EU från att införa allmän övervakning av medborgarna.

Läs mer:

Forum för Dataskydds artikel den 5 augusti 2022 där vi sammanfattade lagförslaget

IDGs ordlista ”Chat Control”

EU-kommissionens förslag den 11 maj 2022

EDPB och EDPS pressrelease om sitt gemensamma remissvar den 29 juli 2022

EDPB och EDPS gemensamma yttrandeden 29 juli 2022

EU-kommissionens konsekvensbedömning, EU-kommissionens utvärdering av olika spårningsteknikers effektivitet, finns i bilaga 8 

Artikel på barnrättsorganisationen Eurochilds hemsida om ett öppet brev

European Digital Rights (EDRi)s inlägg den 11 maj 2022 på sin hemsida

EU-kommissionär Ylva Johanssons blogginlägg den 7 augusti 2022

Extra material för den som vill fördjupa sig:

Artikel i Euronews 11 maj 2022

Artikel i Ny teknik från den 22 april 2022

Blogginlägg på Antivirusföretaget Malwarebytes om scanning av barnporr på klientsidan:

EDRis kampanjsida ”Keep it secure”

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart