CSAM-asetusehdotus lapsiin kohdistuvan seksuaaliväkivallan torjumiseksi verkossa

CSAM tulee sanoista Child Sexual Abuse Material ja tarkoittaa lapsiin kohdistuvaa seksuaalista väkivaltaa sisältävää materiaalia.

Lapsiin kohdistuvassa seksuaaliväkivallassa on kyse vakavasta ja nopeasti kasvavasta rikollisuudesta, joka jättää lapseen elinikäisen jäljen. Lapsiin verkossa kohdistuva seksuaaliväkivalta ei ole väistyvä ilmiö, vaan Euroopan komission mukaan se on yleistynyt viime vuosina räjähdysmäisesti. 

Se käsittää niin lapsiin kohdistuvaa seksuaaliväkivaltaa todistavan kuvamateriaalin jakamisen, lasten houkuttelemisen seksuaalitekoihin (”grooming”) kuin väkivallantekijöiden tapaamisen verkon ulkopuolella. 

Vuonna 2023 Pelastakaa Lapset ry käsitteli 22 584 vihjettä epäillystä lapseen kohdistuvasta seksuaaliväkivallasta tai sitä todistavasta materiaalista. Osa järjestön saamista vihjeistä saattoi sisältää satoja tai tuhansia kuvia tai videoita. 

Suojellaan Lapsia ry:n tutkimuksen mukaan lapseen kohdistuvaa seksuaaliväkivaltaa todistavan kuvamateriaalin käyttäjistä 40 prosenttia kertoi ottavansa yhteyttä lapsiin sen jälkeen, kun he ovat katsoneet laitonta kuvamateriaalia. Rikoksentekijät ovat kertoneet suosivansa erityisesti päästä päähän salattuja ja yksityisyyttä suojaavia sovelluksia, jotka mahdollistavat rikollisen toiminnan ilman kiinnijäämisen riskiä tai viranomaisten seurantaa. 

Palveluntarjoajia ei velvoitettaisi skannaamaan käyttäjiensä keskusteluja lapsiin kohdistuvan seksuaalista väkivaltaa sisältävän materiaalin tunnistamiseksi. Tunnistamismääräyksellä voitaisiin tunnistaa vain jo kertaalleen rikolliseksi todettuja kuvia ja videoita, ei teksti- tai äänisisältöä. 

Lapsiin kohdistuvaa seksuaalista väkivaltaa sisältävien kuvien ja videoiden tunnistaminen ei vaatisi salausteknologian purkamista eikä heikentäisi ns. päästä päähän -salauksessa käytettyä teknologiaa. Ehdotettu tunnistamismääräys olisi viimesijainen keino, jonka tuomioistuin asettaisi palveluntarjoajalle. 

Puheenjohtajavaltion ehdotuksessa päästä päähän salattua viestintää käyttävät palveluntarjoajat eivät olisi sääntelyn osalta eriarvoisessa asemassa muihin palveluihin nähden. Tavoitteena on, että lapsiin kohdistuvaa seksuaaliväkivaltamateriaalia ei voisi varauksetta ja vailla kiinnijäämisen riskiä välittää missään palveluissa.

Tunnistamisen teknologinen toteutus salattua ympäristöä käyttävissä palveluissa suoritettaisiin ns. hash-lukuja vertaamalla siinä hetkessä, jolloin kuvia tai videoita ollaan lähettämässä – eli ennen kuin viestin sisältö salautuu. Lisäksi sovelluksen käyttäjältä tulee pyytää etukäteen suostumus lähetettävien kuvien ja videoiden mahdolliseen vertaamiseen hash-tietokantojen läpi tunnistamismääräyksen tilanteissa. 

Lapsiin kohdistuvaa seksuaalista väkivaltaa sisältävien kuvien ja videoiden tunnistaminen tapahtuisi ns. Hash-tietokannan läpi. Hash-tietokannassa on vertailuluku viranomaisten aiemmin tunnistamasta lapsiin kohdistuvasta seksuaaliväkivallasta. 

Toisin sanoen, tilanteessa jossa palveluun on kohdistettu tunnistamismääräys, palveluntarjoaja vertailisi automatisoidusti hash-tietokannan läpi niitä kuvia ja videoita, joita käyttäjät olisivat lähettämässä. Jos kuva- ja tai videotiedostoista löytyy viranomaisten jo tunnistamaa rikollista sisältöä, tästä tehtäisiin ilmoitus CSAM:n torjuntaan keskittyvälle EU-keskukselle.

Hash-lukua käytetään useissa tietokoneiden ja älylaitteiden prosesseissa, ja esimerkiksi virustorjuntaohjelmistot voivat toimia osin samalla perusteella. Huomionarvoista on, että virustorjuntaohjelmistoilla on pääsy usein kaikkeen tietoon laitteilla toisin kuin yllä kuvatussa tapauksessa, jossa pääsy olisi vain siihen tietoon, jota ollaan lähettämässä.

Menetelmä ei edellytä käyttöjärjestelmään tehtäviä muutoksia tai vakoiluohjelman (spyware) tms. asentamista. Kun tuomioistuin määräisi palveluntarjoajalle tunnistamismääräyksen, tämän olisi päivitettävä sovelluksensa siten, että yllä kuvattu tunnistaminen olisi mahdollista. 

Asetusehdotus ei anna valtiolle pääsyä luottamukselliseen viestintään. Tuomioistuin velvoittaisi palveluntarjoajan tunnistamaan lapsiin kohdistuvaa seksuaaliväkivaltaa sisältäviä kuvia ja videoita niistä palvelunsa osista, joissa on arvioitu olevan korkea riski tällaisen materiaalin levittämiseksi eikä sitä ole muilla keinoin onnistuttu torjumaan. 

Mikäli tunnistamismääräyksen myötä palveluntarjoaja tulisi tietoiseksi palvelussaan olevasta laittomasta aineistosta, niin ilmoitus tehtäisiin erikseen perustettavalle CSAM:n torjuntaan keskittyvälle EU-keskukselle, ei valtioiden viranomaisille.  Valtioilla tai EU-keskuksella ei olisi pääsyä luottamukselliseen viestintään. Ainoastaan tieto tunnistamismääräyksen teknologisesta osumasta – jo kertaalleen rikolliseksi todetusta CSA-materiaalista –  ilmoitettaisiin palveluntarjoajan toimesta EU-keskukselle. Tarkastettuaan toimitetun osuman ja todettuaan osuman oikeellisuuden, EU-keskus välittää tiedon poliisille rikostutkinnallisia toimenpiteitä varten.

EU-tasolla on jo tällä hetkellä voimassa lainsäädäntöä, jonka nojalla palveluntarjoajat voivat vapaaehtoisesti tunnistaa ja ilmoittaa CSAM-materiaalista.  Tätä ei ole yleisesti koettu valtiolliseksi viestinnän kontrolliksi ja monet yritykset ovat tehneet näitä ilmoituksia vapaaehtoisesti. Nyt on tarkoitus säätää pysyväluontoinen ja kattava järjestely, joka asettaa yrityksille velvoitteita lapsiin kohdistuvan seksuaaliväkivallan torjumiseksi verkossa.