Chat Control 2.0 berör framförallt allmänna chattjänster, webbaserade e-posttjänster och publika molnlagringstjänster. Leverantörerna av dessa tjänster ska, utan domstolsbeslut, kunna åläggas att skanna användarnas meddelanden och filer för att leta efter grooming-försök och barnövergreppsmaterial. Kraven omfattar uttryckligen tjänster som använder så kallad totalsträckskryptering (även kallat end-to-end-kryptering).
Förslaget påverkar även internetleverantörer (till exempel Telia, Bredband2 och Bahnhof) samt appbutiker (till exempel Apple App Store och Google Play). De kan behöva begränsa åtkomsten till webbplatser och appar baserat på risk och användarens ålder. Förslaget omfattar däremot inte de stängda servrar där barnövergreppsmaterial sprids mellan förövare.
Allmänna frågor
Är Chat Control 2.0 förenligt med våra mänskliga rättigheter?
Nej, förslaget bryter mot Europakonventionen (artikel 8 och artikel 10) samt FN:s deklaration om mänskliga rättigheter (artikel 12).
”Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.”
– Ur Europakonventionen, artikel 8 (se även EU-stadgan artikel 7)
”Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.”
– Ur Europakonventionen artikel 10 (se även EU-stadgan artikel 11)
”Ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende.”
– Ur FN:s deklaration om mänskliga rättigheter, artikel 12
Förslagsförfattarna är öppna med att deras förslag är oförenligt med mänskliga rättigheter och rättfärdigar det med att ”ingen av [rättigheterna] måste skyddas till varje pris, utan de måste beaktas i förhållande till deras funktion i samhället” (se sida 13 i svenska versionen av förslaget).
Resonemanget om att ändamålen helgar medlen ogillas av FN:s människorättskommissionär som tvärtom bedömer det osannolikt att förslagets krav på bakdörrar är förenligt med internationell människorättslagstiftning (A/HRC/51/17, paragraf 28).
”Med tanke på det breda spektrumet av betydande risker för skyddet av de mänskliga rättigheterna som följer av obligatorisk skanning på klientsidan, ska sådana krav inte införas utan ytterligare omfattande överväganden av deras potentiella konsekvenser för de mänskliga rättigheterna och åtgärder för att mildra dessa faror. Utan en djupgående utredning och analys verkar det osannolikt att sådana restriktioner skulle kunna anses proportionerliga enligt internationell människorättslagstiftning, även om de införs i syfte att uppnå legitima mål, med tanke på allvaret i deras möjliga konsekvenser.”
– Fritt översatt ur A/HRC/51/17, paragraf 28
Är Chat Control 2.0 förenligt med Barnkonventionen?
Nej, förslaget bryter mot Barnkonventionen (artikel 16).
”Inget barn får utsättas för godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv, sitt hem eller sin korrespondens och inte heller för olagliga angrepp på sin heder och sitt anseende.”
– Ur Barnkonventionen, artikel 16
Unicef skriver därtill följande mening i första principen i General Principles on Children’s Online Privacy and Freedom of Expression.
”Barnens kommunikationsintegritet är hotad när deras inlägg, chattar, meddelanden eller samtal är avlyssnade av stater eller andra aktörer, och barns informationsintegritet kan utsättas för risk när barnens personliga data samlas in, sparas eller behandlas.”
– Fritt översatt ur General Principles on Children’s Online Privacy and Freedom of Expression, princip 1.
Chat Control 2.0 vill ordagrant bryta emot exakt allt i denna mening. Barnens inlägg, chattar, meddelanden och samtal ska avlyssnas av stater och andra aktörer. Barnens personliga data ska samlas in, sparas och bearbetas.
Bygger Chat Control 2.0 på samma principer som Apple arbetade med 2021?
Nej, förslaget som Apple lade fram (men drog tillbaka) var mer begränsande, mer rättssäkert och mer genomtänkt. Med Apples modell skulle Iphone endast skicka in rapporter vid detektering av redan känt barnövergreppsmaterial *. Databasen med känt barnövergreppsmaterial skulle enbart innehålla material som två eller fler barnskyddsorganisationer från olika jurisdiktioner enats kring. Se sida 5 i Security Threat Model Review of Apple’s Child Safety Features.
Chat Control 2.0-förslaget kräver att tjänsteleverantörerna rapporterar både känt barnövergreppsmaterial och nytt, potentiellt barnövergreppsmaterial. Tjänsteleverantörerna ska också skanna efter grooming-attacker. Indikatorerna som det ska skannas efter tillhandahålls av EU-centrumet själva (se artikel 44). Det existerar ingen teknik som kan skanna efter nytt, potentiellt barnövergreppsmaterial eller potentiella grooming-attacker utan omfattande problem med feldetektering.
(* Apples nuvarande användning av artificiell intelligens för detektion av grooming-attacker är inte kopplad till de numera nedlagda planerna på automatisk rapportering. Iphones artificiella intelligens används enbart för att varna barnet ifall barnet utsätts för en potentiell grooming-attack. Eftersom tekniken endast används för lokala varningar får de många feldetekteringarna inga förödande konsekvenser samtidigt som barnets Barnkonventionsskyddade rättigheter upprätthålls.)
Varför drog Apple tillbaka sina planer på skanning och rapportering?
Apple drog tillbaka sitt förslag om automatisk skanning och rapportering av känt barnövergreppsmaterial efter att de hade rådgjort med expertisen inom IT-säkerhet, kryptografi och mänskliga rättigheter (se öppet brev). Apple valde att lägga ned de problematiska planerna på automatisk skanning och rapportering av Icloud-bilder. I en kommentar till Wired förklarade Apples talesperson att Apple i stället skulle fokusera på de lokala barnskyddsfunktionerna samt att ”barn kan skyddas utan att företag kammar igenom deras personliga data”.
Frågor om chatt- och molntjänster
Vilka chatt- och molntjänster omfattas av Chat Control 2.0?
Förslaget omfattar bland annat ”allmänt tillgängliga interpersonella kommunikationstjänster”. Dit räknas chattappar (till exempel Facebook Messenger och Whatsapp), webbaserade e-posttjänster (till exempel Gmail, Tutanota och Proton Mail) samt spel med chattfunktioner, bilddelningstjänster och videodelningstjänster.
Hur påverkas chatt- och molntjänsterna som omfattas av Chat Control 2.0?
Tjänsterna som omfattas av förslaget måste göra en riskbedömning för huruvida tjänsterna kan användas för att sprida barnövergreppsmaterial eller för att utföra grooming-attacker. Om risk förekommer är det upp till tjänsteleverantören (till exempel Facebook eller Signal) att vidta åtgärder för att kunna spåra sexuella övergrepp mot barn. Tjänster som använder totalsträckskryptering måste därför antingen bygga in bakdörrar eller lämna EU.
Hur påverkas Signal och Whatsapp av Chat Control 2.0?
Varken Signal eller Whatsapp (Meta) har planer på att bygga in bakdörrar i sina applikationer. När tjänsterna ställdes inför samma fråga i Storbritannien, där det finns motsvarande planer på avlyssningskrav, meddelade tjänsterna att de helt enkelt lämnar Storbritannien ifall de skulle få sådana krav på sig [1, 2].
Signal är den meddelandeapp som EU-kommissionen rekommenderar sina medarbetare att använda [3].
Uppdatering 2023-04-19: Signals VD, Meredith Whittaker, bekräftar på Twitter att Signal inte kommer att vika sig för Chat Control 2.0.
[1] The Guardian, Signal app warns it will quit UK if law weakens end-to-end encryption (2023)
[2] The Guardian, WhatsApp would not remove end-to-end encryption for UK law, says chief (2023)
[3] Politico, EU Commission to staff: Switch to Signal messaging app (2020)
Krävs det beslut från domstol för att utfärda en så kallad spårningsorder?
Nej. Förslaget skriver att det är en rättslig myndighet eller oberoende administrativ myndighet som utfärdar spårningsordrar. Se artikel 7 i förslaget. En spårningsorder ”ålägger en värdtjänstleverantör eller en leverantör av interpersonella kommunikationstjänster under den medlemsstatens jurisdiktion att /…/ spåra sexuella övergrepp mot barn på nätet på en viss tjänst.”
Frågan är dock mindre relevant när det gäller totalsträckskrypterade tjänster eftersom de måste bygga in bakdörrar för att kunna följa eventuella spårningsordrar. Så fort bakdörrarna finns kan de börja missbrukas.
Är det möjligt att skanna efter enbart barnövergreppsmaterial?
Nej. Det är tekniskt omöjligt att begränsa skanningen så att den enbart kan användas för skanning efter barnövergreppsmaterial och grooming-försök. Om tjänsteleverantörerna kan skanna efter barnövergreppsmaterial kan de också skanna efter annat innehåll.
Kryptolog Joachim Strömbergson (Assured/Tillitis) förklarar situationen på följande vis. ”Antingen tittar man på hela innehållet i ett meddelande eller så tittar man inte i meddelandet. Det varken finns eller kan finnas en fungerande, säker kryptering som tillåter att bara vissa typer av information i kryptotexten dekrypteras. Det Chat Control 2.0 sägs efterfråga går inte att realisera.”
Går det att skanna efter känt barnövergreppsmaterial utan risk för feldetektering?
Det går att skanna efter känt barnövergreppsmaterial utan betydande risk för feldetektering. Om filerna identifieras utifrån deras så kallade checksummor är risken för feldetektering i korrekt implementerade skanningsfunktioner obefintlig.
Om filerna detekteras utifrån deras så kallade neuralhashar (bildkännetecken som kvarstår även efter mindre bildbearbetningar) varierar risken för feldetektering beroende på vem som har utvecklat tekniken. Korrekt implementerad är risk låg förutom ifall en angripare medvetet modifierar en bild för att trigga detektion (något bland annat Apple missade risken för [1, 2]). Denna risk finns inte vid detektering baserad på checksummor under förutsättning att en modern hashalgoritm används.
[1] Bruce Schnier, Apple’s NeuralHash Algorithm Has Been Reverse-Engineered (2021)
[2] Matthew Green, Remarks on “Chat Control” (2023)
Går det att skanna efter nytt barnövergreppsmaterial utan risk för feldetektering?
Nej. Det finns ingen teknik som kan detektera nytt, potentiellt barnövergreppsmaterial utan omfattande problem med feldetektering. Att en artificiell intelligens skulle kunna se skillnad på en minderårig 17-åring och en vuxen 18-åring faller på sin egen orimlighet.
Redan idag, när skanningen är frivillig och inte omfattar totalsträckskrypterade tjänster, ser vi konsekvenserna av feldetektering. 2021 förlorade en pappa i USA sitt Google-konto efter att Google hade felaktigt klassificerat bilder på den sjuka sonens könsorgan som barnövergreppsmaterial [1]. Pappan hade skickat bilderna till familjens läkare på uppmaning av vårdcentralens sjuksköterska. 2020 förlorade en tonåring i Nederländerna sitt Microsoft-konto efter att Microsoft hade felaktigt klassificerat bilder på hans 19-åriga flickvän som barnövergreppsmaterial [2].
Både pappan i USA och tonåringen i Nederländerna frikändes av myndigheterna. Pappan fick dock aldrig tillbaka sitt Google-konto. Hur många Google- och Microsoft-användare som redan idag blir oskyldigt anklagade är okänt. I en kommentar till New York Times säger Jon Callas vid EFF att det kan finnas tusentals fler exempel men att det på grund av ärendenas känslighet inte är något som de drabbade vill offentliggöra [1].
[1] New York Times, A Dad Took Photos of His Naked Toddler for the Doctor. Google Flagged Him as a Criminal. (2022)
[2] RTL Nieuws, Microsoft ziet foto van Marks 19-jarige vriendin als kinderporno: ‘Zo kwaad’ (2022)
Frågor om förslagsprocessen
Hur går beslutsprocessen för förslaget?
EU har tre institutioner som tillsammans stiftar EU:s lagar. Dessa tre institutioner kallas EU-kommissionen, ministerrådet och Europaparlamentet. EU-kommissionen lägger fram förslagen. Ministerrådet och Europaparlamentet antar förslagen. I ministerrådet deltar ministrar från svenska regeringen. I Europaparlamentet sitter folkvalda representanter.
Sveriges ministrar i ministerrådet valdes 2022
De svenska ministrarna i ministerrådet är utvalda av regeringen som fick svenska folkets förtroende genom riksdagsvalet 2022.
Sveriges ledamöter i Europaparlamentet valdes 2019
De svenska ledamöterna i Europaparlamentet valdes av svenska folket genom Europaparlamentsvalet 2019.
Ministerrådet och Europaparlamentet avgör Chat Control 2.0:s framtid
EU-kommissionen har lagt fram Chat Control 2.0-förslaget. Det är nu upp till ministerrådet och Europaparlamentet att föreslå ändringar som leder till att förslaget antingen förkastas eller antas. Ministerrådet och Europaparlamentet måste vara eniga för att förslaget ska antas.
Läs mer om EU:s beslutsprocess på EU:s webbplats.
Hur påverkar de svenska partierna förslaget?
Sveriges riksdag har 349 ledamöter från åtta partier. Riksdagsledamöterna röstades fram av svenska folket genom riksdagsvalet 2022. Tre av de åtta partierna gick samman för att bilda regering: Liberalerna, Moderaterna och Kristdemokraterna. De regerar med Sverigedemokraterna som stödparti.
Oppositionen utgörs av Vänsterpartiet, Socialdemokraterna, Miljöpartiet och Centerpartiet. I riksdagen finns också en politisk vilde (Elsa Widding) som tidigare tillhörde Sverigedemokraterna.
Riksdagen utser EU-nämnden
EU-nämnden består av 17 ledamöter som har valts ut av riksdagspartierna. Regeringens ministrar samråder med EU-nämnden inför beslut och ställningstaganden i ministerrådet. Även om regeringens ministrar inte måste följa EU-nämndens linje bör regeringen göra det enligt beslut från Konstitutionsutskottet (och för att undvika att fällas av riksdagen i en missförtroendeomröstning).
För att Chat Control 2.0-förslaget ska antas måste ministrarna i ministerrådet vara överens med Europaparlamentet.
Läs mer om hur EU-nämnden och regeringen arbetar på riksdagens webbplats.
Hur påverkar de svenska EU-parlamentarikerna förslaget?
Europaparlamentet består av 705 ledamöter varav 21 kommer från Sverige. De svenska ledamöterna röstades fram av svenska folket genom Europaparlamentsvalet 2019. Under den här mandatperioden kommer ledamöterna i Europaparlamentet från samma åtta partier som sitter i den svenska riksdagen. I Europaparlamentet sitter också en politisk vilde (Peter Lundgren) som tidigare tillhörde Sverigedemokraterna.
Europaparlamentsledamöterna behöver inte rösta som sina svenska partier utan följer oftast sin politiska grupp. Centerpartiet och Liberalerna delar politisk grupp. Det gör även Moderaterna och Kristdemokraterna. Alla andra partier tillhör egna politiska grupper. Det finns totalt sju politiska grupper.
För att Chat Control 2.0-förslaget ska antas måste Europaparlamentet vara överens med ministerrådet.
Läs mer om hur Europaparlamentet fungerar på riksdagens webbplats.
Saknas svaret på din fråga? Kolla ifall frågan behandlas i någon av de två andra FAQ:erna. Du kan också kontakta oss via e-post för att ställa din fråga eller lämna förslag på förbättringar av befintliga svar.