Chatcontrol

Mikä ihmeen chatcontrol?

EU:ssa on taas kerran tekeillä asetus lasten suojelemiseksi, koko nimeltään

“EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS lapsiin kohdistuvan seksuaaliväkivallan ehkäisyä ja torjuntaa koskevista säännöistä”.

Esitys, tai oikeammin siihen sisältyvä vaatimus yksityisviestien valvonnasta, on saanut lempi- tai haukkumanimen “chatcontrol”.

Esityksen tarkoitus on hyvä ja tärkeä. Valitettavasti esitetyt keinot eivät ole onnistuneita – sananlaskukin kertoo minne hyvillä aikomuksilla kivetty tie johtaa. Esityksessä on kolme isoa ongelmaa:

  1. Henkilökohtaisten viestien luottamuksellisuuden rikkominen
  2. Julkaisualustojen automaattinen sensurointi
  3. Ikätarkistukset

Siinä rikottaisiin yksityisyyden suojaa demokratiassa ennennäkemättömän rajusti, puututtaisiin sananvapauteen de facto -ennakkosensuurilla ja tehtäisiin netin anonyymi käyttö mahdottomaksi.

  1. Henkilökohtaisten viestien luottamuksellisuuden rikkominen.

    Asetus edellyttää yksityisviestien salauksen (end-to-end encryption) murtamista (tai kiertämistä) niin, että kaikkiin yleisiin henkilöviestintäohjelmiin ja verkkopalveluihin pitää asentaa ohjelmisto, joka tekoälyn avulla analysoi niiden kautta kulkevat viestit siltä varalta, että niissä on lapsiin kohdistuvaa seksuaaliväkivaltaa todistavaa kuvamateriaalia (CSAM) tai lapsen houkuttelua seksuaalisiin tarkoituksiin (grooming).

    Tämä koskisi sekä tavallisia että videopuheluita, sähköpostia, pikaviestimiä (WhatsApp, Messenger, Signal) jne, sekä henkilökohtaisiakin pilvipalveluita (siis myös ei-jaettuja tallennuspalveluita pilvessä).

    Viesteistä ei etsittäisi vain tunnettua kuvamateriaalia vaan myös uutta, sekä lasten houkutteluviestejä, jotka tunnistettaisiin tekoälyn avulla. Tähän kaavaillut algoritmit eivät ole julkisia eivätkä tiedeyhteisön saatavilla, eikä niille määrätä mitään julkisuusvelvoitetta, niiden tarkkuutta ei tiedetä eikä sille aseteta mitään vaatimuksia.

    Tässä on useita ilmeisiä ongelmia:

    • Vaikutus yksityisyyden suojaan yleisesti

      Yksityisyyden suojan kannalta tämä olisi rinnastettavissa ajatukseen, että kaikkien asuntojen kaikkiin huoneisiin kylpyhuoneita myöten pitäisi asentaa aina päällä olevat kamerat, joita tekoäly katsoisi ja hälyttäisi poliisin havaitessaan jotain mielestään epäilyttävää. Sen suhteettomuus on ilmeinen ja se varmasti aikanaan kaatuisi oikeudessa, mutta aikaa menisi paljon hukkaan. Suomen edustaja Law and Order -työryhmässä arvioi sen olevan myös Suomen perustuslain vastainen.

    • Vaikutus mm. sosiaali- ja terveydenhuoltoon, kehitysvammahuoltoon, vanhustenhuoltoon ja terapiapalveluihin

      Sosiaali- ja terveydenhuollon kannalta viestien luottamuksellisuuden rikkominen toisi myös isoja ongelmia. Sosiaali- ja terveydenhuollon toimijoiden keskinäisten sekä asiakkaiden välisten videoyhteyksien, sähköpostien, puheluiden, etätapaamisten ja yhteydenottojen luottamuksellisuutta ei voitaisi taata.

      Julkisen sosiaali- ja terveydenhuollon (mm. KELA ja hyvinvointialueet) toimijoiden tukena toimii useita – usein yksityisiä – toimijoita. Nämä toimijat tuottavat sosiaali- ja terveydenhuoltoon, kehitysvammahuoltoon, vanhustenhuoltoon sekä KELA:n vastuulle kuuluvia diagnostiikka-, kuntoutus-, terapia-, lääkäri-, psykoterapia- yms. palveluita. Näiden palveluiden tuottamiseksi asioita käsitellään ja viestejä välitetään sähköisesti useilla eri järjestelmillä.

      Osa ja osia järjestelmistä on viranomaisten, osa yksityisten ja julkishallinnon toimijoiden sekä osa Internetin portinvartijayritysten pilvipalveluiden varaan rakennettuja. Portinvartijayritysten pilvipalveluiden sijaintia on usein lähes mahdotonta todentaa. Usko viestinnän luottamuksellisuuteen on jo nyt osiltaan rapautunut, kun vaikkapa viranomainen välittää viestien metatietoja portinvartijayritysten palvelimien kautta.

    • Järjestelmästä syntyisi myös massiivinen tietoturvariski

      Kaikkiin viesteihin käsiksi pääsevä järjestelmä olisi vastustamaton houkutus mustahatuille, erityisesti myös eri maiden tiedustelujärjestöille.

      Ilman tietoturva-aukkojakin potentiaali väärinkäytöksiin on ilmeinen: samaa mekanismia voisi käyttää eri tavoin “väärin ajattelevien” ihmisten etsimiseen, kaikkiin hallituksiinkaan ei voi tässä luottaa.

    • Paljon vääriä hälytyksiä ja turhaa työtä

      Järjestelmä tuottaisi myös vääjäämättä suunnattoman määrän vääriä positiivisia. Vaikka esitys puhuukin niiden minimoimisesta, sitä ei ole mahdollista tehdä tehokkaasti, siinä törmätään matemaattiseen ongelmaan (ns. väärien positiivisten paradoksi tai base rate fallacy): kun etsittävien viestien suhteellinen osuus on pieni, vääriä positiivisia tulee vääjäämättä paljon vaikka testin tarkkuus yksittäisen viestin kohdalla olisi hyvinkin suuri.

      Komission impact assessment raport arvioi tarkkuudeksi “significantly over 90%”; vaikka tarkkuus olisi 99% ja vain joka sadas viaton viesti tulkittaisiin aiheettomasti CSAM- tai grooming-viestiksi, jo muutaman kymmenen viestin päivävauhdilla *jokainen* viaton ihminen joutuisi turhaan epäillyksi keskimäärin kerran viikossa.

      Samoista luvuista seuraa, että kaikkien viestien skannaamisesta aiheutuisi järjetön työmäärä: EU:ssa kulkee päivittäin ainakin miljardeja, todennäköisesti kymmeniä miljardeja viestejä, prosentti tai prosentin kymmenyskin niistä olisi täysin mahdoton määrä ihmisille tarkistettavaksi (0.1% miljardista on jo miljoona, montako poliisia ehtisi tarkistaa moisen määrän joka päivä).

    • Ei kohdistu sinne missä pahantekijät ovat

      Lisäksi tiedetään, että CSAM-aineiston levittäjät ovat jo lähes kokonaan kaikonneet puheenaolevista kaupallisista palveluista ns. pimeän verkon puolelle, joten toimiessaankaan tästä järjestelmästä ei olisi suurta hyötyä.

    • Ennenkin todettu huonoksi

      Idea on muuallakin todettu huonoksi: Apple hylkäsi oman suunnitelmansa tällaisesta jo aikaisemmin todeten, ettei pysty toteuttamaan sitä turvallisesti. Viime vuonna EU:n Law Enforcement -työryhmän kyselyssä Suomi monien muiden ohella nosti esille samoja ongelmia tietoturvan ja viestinnän luottamuksellisuudessa. Myös Britannian tekeillä olevasta vastaavasta laista vastaava ministeriö tiedotti viime viikolla todenneensa tämän teknisesti mahdottomaksi ja aikoo jättää sen laistaan pois.

  2. Julkaisualustojen automaattinen sensurointi pakolliseksi.

    Asetus edellyttää myös julkaisualustoille ladattavan aineiston automaattista sensurointia tekoälyn avulla (upload filters). Tämä olisi harvinaisen raju puuttuminen sananvapauteen tekniikalla, jonka luotettavuus on kauniisti sanoen kyseenalainen. Väärinkäytösten mahdollisuus on myös ilmeinen, sen enempää alustojen kuin kaikkien hallitustenkaan motiiveihin ei aina voi luottaa. Tunnetusti lainvastaisen aineiston suodattaminen ei olisi samalla tavoin kyseenalaista koska ne voidaan tunnistaa luotettavasti, joskin senkin hyödyllisyys on pieni, koska ko. aineisto ei enää näillä alustoilla juuri liiku.

  3. Ikätarkistukset

    Asetus edellyttää myös käyttäjien iän tarkistamista sekä po. alustoilta että sovelluskaupoilta. Tämä tekisi anonyymin käytön mahdottomaksi ja siitä riippuvien toisinajattelijoiden ja ihmisoikeustaistelijoiden työn paljon vaikeammaksi. Mitään oikeasti toimivaa tapaa iän tarkistamiseen ilman tunnistautumista eli anonymiteetin murtamista ei ole olemassa.

Lisätietoa:

Asetusesitys EU:n sivustolla

EDRin kritiikkiä

Europarlamentaarikko Patrick Breyerin sivu aiheesta

Suomen lausunto EU:n Law Enforcement salaustyöryhmässä
(koko lausunto löytyy täältä)

Uutinen Applen päätöksestä luopua CSAM-skannaussuunnitelmastaan

Uutinen Britannian päätöksestä luopua chat-skannauksesta