Sommaren 2021 röstade EU igenom ett förslag under namnet "Eprivacy Derrogation", även kallad "Chat Control" som gör ett tillfälligt undantag från Artikel 5 och Artikel 6 i EU:s direktiv om integritet och elektronisk kommunikation. Det tillåter att massgenomsöka e-postmeddelanden, chattmeddelanden och liknande digital kommunikation i syfte att motverka sexuellt utnyttjande av barn och unga online.

Förslaget kritiserades för att vara både oansvarigt och integritetskränkande, men passerade trots det med majoritet. Det följdes sedan av ett om möjligt ännu striktare förslag när EU-kommissionären Ylva Johansson presenterade vad som kallas "Chat Control 2.0" tidigt år 2022. Nu ställer sig även Sveriges regering bakom förslaget, genom justitieminister Gunnar Strömmers pressekreterare, som bekräftat till Ekot att förslaget stöds. Alla partier är däremot inte överens, där Centerpartiet och Sverigedemokraterna hittills är ensamma om att opponera sig mot det.

Det är flera skillnader mellan nuvarande undantag och nya föreslagna "Chat Control 2.0". De större inkluderar bland annat att genomsökning av data blir obligatoriskt för publika tjänster, inklusive de som nyttjar end-to-end-kryptering. Bakgrunden till förslaget är likt tidigare att stoppa och förhindra sexuellt utnyttjande av barn och motverka både exempelvis grooming och spridning av barnpornografiskt innehåll, så kallat CSAM-material.

Säkerhetsexperter och människorättsorganisationer kritiska

Förslaget är inte helt okontroversiellt och särskilt avlyssning av end-to-end-krypterad kommunikation pekas ut som ett stort problem. Syftet med end-to-end-kryptering är att det inte går att identifiera annat än metadata, varför tjänster som nyttjar det i praktiken måste implementera någon typ av bakdörr.

En av de svenska IT-säkerhetsspecialisterna som är mycket kritiska till förslaget är Karl Emil Nikka, grundare till Nikka Systems. Till SweClockers förklarar han att det finns flera möjliga metoder för att genomsöka datan, men inte utan att dekryptera och skicka vidare informationen på något vis. Han poängterar att påståenden om att det går att "sniffa" efter CSAM-material i end-to-end-krypterade konversationer saknar verklighetsförankring.

Givetvis går det inte att skanna efter CSAM-material i totalsträckskrypterade konversationer – Karl Emil Nikka, IT-säkerhetsspecialist

Den mest sannolika metoden är så kallad klientsidesskanning. Det innebär att applikationerna som implementerar bakdörren skannar efter CSAM-material på användarnas enheter, där konversationerna alltid måste dekrypteras. Detta är långt från riskfritt och öppnar för allvarliga dataläckor. Andra potentiella säkerhetsfrågetecken inkluderar att många av jättarna, likt Google, Meta och Microsoft, är baserade utanför EU, vilket väcker frågor om hur, var och av vem data ska hanteras.

"omöjligt att eliminera risken att data hamnar i fel händer"

När SweClockers frågar om det överhuvudtaget är möjligt att garantera säkerhet för en sådan lösning blir svaret nej. I hans mening är det ur ett teknikperspektiv omöjligt att eliminera risken att data hamnar i fel händer, felaktigt flaggas som olagligt eller att det används på fel vis.

Juridiska skydd ska förhindra att Chat Control 2.0 används fel

Det sistnämnda är Nikka inte ensam om att oroa sig för. Chat Control 2.0 har väckt kritik från flera människorättsorganisationer, hela vägen upp till FN-nivå. Bland annat kritiseras det för att bryta mot FN:s deklaration om mänskliga rättigheter, Europakonventionen och Barnkonventionen.

Mer specifikt nämns det kränka barns rätt att inte utsättas för "godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv, sitt hem eller sin korrespondens" men flera flaggar även för att det kan riskera all form av sekretess och integritetsskydd, inte minst för redan utsatta samhällsgrupper. Risker inkluderar att ändamålet med tiden förändras och att redan implementerade system missbrukas.

De undertecknande medlemmarna av ECPATs techkoalition ser den föreslagna förordningen som ytterligare en möjlighet att sätta en guldstandard för reglering av det som sker på nätet. Sexuella övergrepp mot och exploatering av barn är ett globalt problem. Vi hoppas att EU kommer ha ett nära samarbete med internationella aktörer likväl som komplettera existerande, välfungerande och frivilliga åtgärder och partnerskap med ett rättsligt ramverk snarare än att fragmentisera kampen. – ECPAT Sveriges techkoalition

Förslagets förespråkare menar att den typen av missbruk ska förhindras bland annat genom juridiska åtgärder och lagstiftning. Bara det som faktiskt är olagligt ska gå vidare till myndigheter, men inte utan att först granskas i flera omgångar för att säkerställa att det inte rör sig om en felaktig detektering. Med ett ökande antal övergrepp mot barn i Europa ses förslaget som en nödvändig åtgärd för att säkerställa barn och ungdomars säkerhet och välmående.

Nikka varnar dock för att Chat Control 2.0 vill ersätta tekniska skydd, som begränsar vad som kan göras, med juridiska skydd, som begränsar vad som får göras. Han poängterar att de juridiska skydden är mindre relevanta eftersom de reglerar vad leverantörerna får göra när de väl har fått tillgång till informationen. Risken med att leverantörerna överhuvudtaget får tillgång till konversationerna blir tydlig med ett globalt perspektiv. Om möjligheten för avlyssning finns är det inte enbart EU som kommer att vilja utnyttja den.

Huruvida de föreslagna åtgärderna i Chat Control 2.0 faktiskt gör någon skillnad i praktiken råder det åter delade meningar om. Kritiker menar att det potentiellt kan innebära ännu större skada, eftersom privata bilder och information genom massövervakning riskerar att utan samtycke spridas till fler okända personer. Andra argumenterar för att brotten inte sker på de publika plattformarna och att de faktiska brottslingarna inte går att nå.

Framtiden för Chat Control 2.0 är fortfarande oviss. Förslaget i nuvarande form är varken slutgiltigt eller genomröstat, utan ska fortsatt passera flera EU-instanser under årets gång. Parallellt förs diskussioner om andra lösningar, men där ligger ännu inget officiellt på EU:s bord.